Web常用攻击手段之XSS脚本

最新推荐文章于 2023-08-15 05:00:00 发布
最新推荐文章于 2023-08-15 05:00:00 发布
阅读量142 收藏
点赞数
分类专栏: 互联网安全架构 文章标签: Xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juzhenxing/article/details/101483454
版权

防御之前

在这里插入图片描述

防御之后

在这里插入图片描述

如何防御?

  • 使用过滤器对特殊字符进行转义

代码实现

//重写getParameter方法, 对特殊字符进行转义
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private HttpServletRequest httpServletRequest;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        this.httpServletRequest = request;
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StringUtils.isEmpty(value)) {
            return StringEscapeUtils.escapeHtml(value);
        }
        return value;
    }
}

//使用过滤器统一处理
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        XssHttpServletRequestWrapper xssHttpServletRequestWrapper = new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest);
        filterChain.doFilter(xssHttpServletRequestWrapper, servletResponse);
    }
}
_翚_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常用网站攻击手段及防御方法
奮鬥徳菜鳥
07-29 1万+
电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识,供大家参考一下
XSS测试之编码绕过与浏览器解码机制
u014171100的博客
03-15 6270
嘿嘿,我就是不写摘要,就是玩儿~
JSP安全开发之XSS漏洞详解
ywb201314的专栏
03-18 3601
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 前言 大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种...
XSS攻击和跨站脚本安全漏洞防护
Zyw907155124的博客
09-05 3674
存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储型XSS攻击。**例如**:下面JSP代码片段的功能是根据一个已知用户雇员ID(id)从数据库中查询出该用户的地址,并显示在JSP页面上。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储型XSS攻击
JSP过滤器防止Xss漏洞
热门推荐
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
JAVA解决XSS漏洞
qq_29206607的博客
09-18 2491
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
解决xss转义导致转码的问题
weixin_39555954的博客
08-15 1221
解决xss转义导致转码的问题
xss尖括号等被转义情况下的绕过测试
z1moq的博客
07-25 1万+
打开靶场 目标网站存在反射型xss漏洞,我们使用常用的方法进行测试 发现并无作用,打开网站源码查看问题情况 确实后端会将用户输入的数据无过滤直接返回前端,但是存在个别符号被转义的问题,导致无法正常弹窗 通过查找资料可知,可以通过使用三重url编码的方式绕过这一问题 尝试使用此方法进行绕过 emmmmmmm发现并不行 尝试使用编码绕过 发现也被转义了 既然无法实现转义的绕过,就再次仔细观察前端页面代码 发现在form表单中也会直接显示,并且发现 value 的值是由单引号闭合,且单引号在前几次测
xss绕过方法
sinri的博客
01-30 3191
xss绕过方法 1.改变大小写 将大小写穿插编写 <script>alert(“xss”);</script> 可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 2.关闭标签 利用大于号>关闭标签使得xss生效 ><script>alert(“Hi”);</script> 3.利用html标签触发事件 很多标签都可以对过滤进行绕过 格式:< 标签 事件 = 执行语句 例如: <p
[JavaWeb]_[初级]_[对Html特殊符号进行转义防止XSS攻击和反转义]
Tobey(我是机器人)
11-03 1660
场景 在开发Java Web程序时,为了防止XSS的JavaScript攻击, 需要对用户输入转义,使JavaScript脚本不能执行. 在前端可以通过获取<div>的innerHTML属性来获取转义内容,但是在服务端如何进行转义?因为客户端是可以绕过的. 说明 HTML内容的转义在开发Web时肯定是必须做的,在入数据库之前得转义,而不是在用的时候再转义。主要是防止在使用这类数据的时候忘记没有转义导致的XSS安全问题. 转义HTML字符主要涉及到5个字符<>"'&
Web安全之XSS攻击与防御小结
02-23
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击...
Web安全性测试之XSS
01-31
全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的...
XSS跨站脚本攻击
01-27
XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去...
前端安全之XSS攻击
02-25
分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击...
基于Springboot+Vue的墙绘产品展示交易平台毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
99-青海大学大数据中心建设分享.pptx
04-27
99-青海大学大数据中心建设分享.pptx
TD-LTE载波聚合方案.docx
04-27
5G通信行业、网络优化、通信工程建设资料。
10份网络优化创新案例.zip
最新发布
04-27
SA语音回落与切换流程冲突解决.pdf 计费模式错误导致SA语音承载建立失败,pdf BSF网元bug导致SA用户VOLTE业务故障,pdf SA基站SCTP偶联IP配置不规范导致切换失败的问题处理,pdf 第一医院SA+NSA双模基站方案保障5G查房车应用,pdf SA未配置互操作场景下终端语音业务研究案例,pdf SA站点天馈隔离度问题导致上行速率不及预期,pdf SA组网下微信小视频卡顿影响感知案例,pdf 基于八步法定位SA掉线问题.pdf SA站点测试宏微切换异常事件,pdf
施工监理费计算依据.doc
04-27
5G通信行业、网络优化、通信工程建设资料。
Vue解决xss脚本攻击
07-25
Vue 框架本身并不能直接解决 XSS(跨站脚本攻击)问题,但可以采取一些措施来减轻和防止这类攻击的发生。下面是一些常见的方法: 1. 使用模板语法:Vue 的模板语法会自动对插值进行 HTML 转义,这可以防止恶意脚本的执行。确保在插值表达式中使用双花括号 `{{ }}` 或 `v-text` 指令,而不是 `v-html` 指令。 2. 使用过滤器:Vue 的过滤器可以对数据进行处理和转义,例如使用内置的 `{{ text | filter }}` 语法或者通过全局过滤器。在过滤器中使用可信的 HTML 清理库,如 DOMPurify,对数据进行 XSS 过滤。 3. 使用第三方库:可以使用一些专门用于防止 XSS 攻击的第三方库,例如 vue-xss 或 DOMPurify。这些库提供了更强大的 XSS 过滤和安全性功能,可以在渲染数据之前进行过滤和清理。 4. 输入验证和过滤:在接收用户输入时,进行严格的输入验证和过滤。确保仅接受预期的数据类型和格式,并对用户输入进行适当的转义或过滤。 5. 安全 HTTP 头设置:在服务器端设置适当的 HTTP 头,如 Content-Security-Policy(CSP)和X-XSS-Protection,以帮助防止 XSS 攻击。 6. 定期更新依赖库:保持 Vue 及其相关依赖库的最新版本,以获取最新的安全修复和功能更新。 需要注意的是,以上方法只是减轻和防止 XSS 攻击的一些基本措施,不能保证100%的安全。在开发过程中,还应该密切关注安全性问题,并遵循最佳实践来保护应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值