从零开始搭建自己的网站二十三:前端XSS攻击解决方法

最新推荐文章于 2024-07-01 11:00:06 发布
最新推荐文章于 2024-07-01 11:00:06 发布
阅读量523 收藏 1
点赞数 1
分类专栏: 设计模式 java web 技术 前端 网站建设 文章标签: 网站建设 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juewang_love/article/details/89505698
版权

XSS介绍:

XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。 

 

举个例子,在文章评论框中输入

<img src="1" onerror="alert('from xss')">

如果没有进行任何转义

打开页面就会提示alert

转义之后,内容就能正常显示,下面是两条评论,其中一条已转义,一条未转义

如果没有处理xss攻击,黑客就可以通过一些语句获取cookie的语句,从而获取到用户的数据

解决办法:

我们在后台对文章评论内容进行转义

    /**
     * 清除xss攻击的转义方法
     *
     * @param value 字符串
     */
    public static String cleanXSS(String value) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

下面是数据库中存储的转义后和转义前的内容

 

欢迎转载,转载请注明出处 http://www.dingyinwu.com/article/68.html

如果文章中有任何问题或者可以改进的地方,请大家多提提意见,我会非常感激。

 

丁垠午
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞修复方案
chitun2903的博客
08-13 3751
基本概念及解决办法 比较典型的XSS攻击漏洞(Cascading Style Sheets, CSS),俗称跨站脚本攻击解决办法:将特殊字符进行转义 1、增加过滤器XssFilter.java public class XssFilter implements Filter { F...
【应用安全之XSS一】XSS攻击测试以及防御
qq_35789269的博客
02-19 6483
跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击实例 下面为一个Input标签: <input type="text" value="value"></input> 当用输入值
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 8229
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
前端安全系列(一):如何防止XSS攻击
qkh1234567的博客
05-14 1830
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
如何避免XSS攻击
狂欢的博客
08-25 848
前言 XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。原理是攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的,如盗取用户 cookie、破坏页面结构、重定向到其他网站等。 预防: 1、获取用户的输入,不用innerHtml,用innerText. 2、预防 XSS 的核...
java后台接收参数特殊字符被转义多出空格问题
H_lver的博客
12-10 2292
偶然间在向后台传递带单引号的参数值发现:单引号被转义成“& #39;”,不是正常的html符号转义,而是“&”后面多了一个空格,导致无法再被反转义。 后追踪代码发现项目中做了防XSS攻击处理导致的,代码如下: private String cleanXSS(String value) { //You'll need to remove the spaces from the html entities below value = value.repl
xss漏洞完美解决方法
热门推荐
f0rd_的博客
09-07 1万+
 搞什么安全漏洞检查,在加个防止恶意弹窗的吧 package com.wh.tms.xss; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends ...
管理系统系列-- 从零开始搭建后台管理系统.zip
02-25
【标题】:“管理系统系列-- 从零开始搭建后台管理系统” 这个标题揭示了我们要探讨的核心主题:如何从无到有地构建一个后台管理系统。后台管理系统是企业信息化建设中的关键部分,它负责处理数据、业务逻辑以及与...
从无到有搭建28388项目程序.rar
10-03
在IT行业中,构建一个...以上这些知识点涵盖了从项目启动到上线运维的全过程,每个环节都至关重要,确保28388项目能顺利从零开始构建并稳定运行。在实际操作中,还需要根据项目的具体特点和技术需求进行调整和优化。
仿照58的开户网站,可学习搭建自己的网站
09-13
标题中的“仿照58的开户网站”表明这个项目是基于58同城的开户流程进行模仿,目的是为了学习如何构建类似的网站。58同城是一个知名的分类信息服务...这是一个很好的实践平台,能够帮助你从零开始构建一个完整的网站
express+mysql+vue,从零搭建一个商城管理系统7-token
02-27
在本项目中,我们主要利用Express.js作为后端框架,MySQL作为数据库系统,Vue.js作为前端框架,构建一个从零开始的商城管理系统。这个系统的第七个部分主要关注的是实现用户认证和授权,即"token"的功能。以下是这些...
37_HTML手机电脑网站_网页源码移动端前端_H5模板_自适应响应式源码.zip
08-03
标签中提到了"网站模板",这意味着这些源码可能包括预设计的页面结构和样式,可以帮助开发者快速搭建网站,无需从零开始编写代码。"js"和"css"是网页开发中的两种关键技术,JavaScript用于增加动态功能和用户交互,...
java 防止xss攻击
java旅程
09-06 3592
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等XSS 是如何发生的假如有下面一个textbox<input type="text" name="addre
前端应对xss进攻的一些方法
MrLiber的博客
03-16 2511
一提到前端安全性,必然要考虑到XSS攻击,那我们先来看下什么到底XSS攻击xss攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用...
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 5393
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
前端安全——XSS攻击与防御原理详解
qq_44197554的博客
12-13 5578
前端开发人员必备安全防范知识——XSS攻击与防御,希望大家可以认识到xss攻击的危害
前端安全:XSS攻击与防御策略
最新发布
dzqxwzoe的博客
07-01 1000
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
前端防御XSS
swordheart的博客
04-26 1912
0x00 前言 我不否认前端在处理XSS的时候没有后端那样方便快捷,但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。我个人是非常反感这句话的。虽然说前端防御XSS比较麻烦,但是,不是一定不行。他只是写的代码比后端多了而已。而且前端防御XSS比后端防御XSS功能多,虽说后端也可以完成这些功能,但是代码量会比前端代码多很多很多。其实说了那么多,交给nginx||apache||nodeJs||Python会更好处理。但是我不会C,也就没办法写nginx模块了。而且也不在本文章的范围内,等我什么
强化客户端防护:抵御XSS攻击与智能浏览器解决方案
客户端加固是网站安全的重要环节,特别是在面临XSS(跨站脚本攻击)、仿冒和网页木马等威胁时。这种技术旨在提升用户浏览器的安全性,通过安装像360安全浏览器、Chrome的安全插件以及卡卡上网安全插件等工具,增强...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值