XSS简介

最新推荐文章于 2022-07-30 14:40:22 发布
最新推荐文章于 2022-07-30 14:40:22 发布
阅读量1k 收藏 4
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizhiqiang1217/article/details/89482075
版权

 XSS攻击全称是跨站脚本攻击,是经常出现在web应用中的安全漏洞,它允许恶意web用户将代码植入到页面中,比如:sql脚本,javaSrcipt脚本,或者html代码。
 解决方案:主要用到org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法来对特殊字符进行转义。
1、在web.xml中配置Filter

    <filter>  
    <filter-name>XssEscape</filter-name>  
        <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>XssEscape</filter-name>  
        <url-pattern>/*</url-pattern>  
        <dispatcher>REQUEST</dispatcher>  
    </filter-mapping>

2、编写XssFilter类。实现Filter接口

	public class XssFilter implements Filter {  
          
        @Override  
        public void init(FilterConfig filterConfig) throws ServletException {  
        }  
      
        @Override  
        public void doFilter(ServletRequest request, ServletResponse response,  
                FilterChain chain) throws IOException, ServletException {  
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
        }  
      
        @Override  
        public void destroy() {  
        }  
    }

3、编写XssHttpServletRequestWrapper类。继承HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法

    public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
      
        public XssHttpServletRequestWrapper(HttpServletRequest request) {  
            super(request);  
        }  
      
        @Override  
        public String getHeader(String name) {  
            return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
        }  
      
        @Override  
        public String getQueryString() {  
            return StringEscapeUtils.escapeHtml4(super.getQueryString());  
        }  
      
        @Override  
        public String getParameter(String name) {  
            return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
        }  
      
        @Override  
        public String[] getParameterValues(String name) {  
            String[] values = super.getParameterValues(name);  
            if(values != null) {  
                int length = values.length;  
                String[] escapseValues = new String[length];  
                for(int i = 0; i < length; i++){  
                    escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
                }  
                return escapseValues;  
            }  
            return super.getParameterValues(name);  
        }  
          
    }
苍穹尘
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3.1XSS简介
wojiushilsy的博客
06-24 340
XSS简介第一种类型:反射型 XSS第二种类型:存储型 XSS第三种类型:DOM base XSS简介 跨站脚本攻击(Cross Site Script)本来缩写是CSS,但是为了与层叠样式表(Cascading Style Sheet)区分,所以在安全领域叫做 “XSS”。 XSS 攻击,通常指黑客通过 HTML 注入 篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。在这种行为最初出现之时,所有的演示案例全是跨域行为,所以叫做 “跨站脚本” 。时至今日,随着Web 端功能的复.
XSS介绍
MichaelJY1991的专栏
04-08 1013
安全漏洞——沉睡的巨人XSS Cross-site scripting,跨站脚本攻击,简写XSS(因为首字母缩写与CSS样式表重复,故采用XSS)。 背景 Web程序安全问题依赖于很多机制,其中就包括“同源策略”。同源策略是指调用方与被调用方需是同一地址,否则浏览器会阻止其调用。 XSS脚本攻击主要集中在web系统、其所在服务器以及相关依赖系统。利用这其中的一个漏洞,攻击者可以把恶意内容从...
SpringBoot整合XSS.zip
04-30
1. **XSS攻击简介**:XSS(Cross Site Scripting)是一种常见的网络攻击方式,攻击者通过在网页上注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而获取敏感信息或执行恶意操作。XSS攻击通常分为反射型、...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
OurPHP会员中心 xss漏洞1
08-03
漏洞简介:OurPHP会员中心>收货地址 存在xss漏洞,可获取管理员cookie。漏洞分析:在client/user/ourphp_play.class.ph
ourphp 站内信存储型xss漏洞1
最新发布
08-04
漏洞简介 存储型XSS漏洞是指攻击者将恶意代码存储在服务器上,而不是反射到用户浏览器上,这使得攻击者可以在服务器上存储恶意代码,以便日后攻击其他用户。在OurPHP 1.7.1版本中,站内信存储型XSS漏洞就存在于站内...
Catfish(鲶鱼) Blog V1.3.15存储型 xss1
08-03
XSS 漏洞简介 跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的Web应用程序安全漏洞,它允许攻击者注入恶意脚本到看似可信的网站上。根据脚本执行的位置不同,XSS可以分为三种类型:反射型XSS、存储型XSS以及...
XSS攻击简介
weixin_34315665的博客
07-02 104
2019独角兽企业重金招聘Python工程师标准>>> ...
xss的介绍以及概述
ranuy阮的博客
07-04 1202
**何为XSS ** 首先,xss(Cross Site Scripting)是为了不和css(Cascading Style Sheets)缩写混淆而缩写为xss,直接翻译过来就是跨站脚本。 跨站脚本攻击是常见的前端web攻击。攻击者通过在页面中插入精心构造的恶意JavaScript脚本。引诱用户去点击构造的js恶意代码。当受害者去点击这些恶意代码后,游览器会去解析执行恶意的js代码。从而导致窃取用户身份/钓鱼/传播恶意代码等危害。很常见的一个xss攻击就是弹窗。 XSS的分类 反射型 储存型 DOM型
XSS详解
热门推荐
金色%夕阳的博客
07-30 1万+
XSS详解 1. 简介 2. 跨站脚本实例 3. XSS 的危害 4. 分类 4.1 反射型XSS(非持久型) 漏洞成因 攻击流程 4.2 存储型XSS(持久型) 漏洞成因 攻击流程 4.3 DOM型XSS 漏洞成因 4.4 通用型XSS 漏洞成因
【Web安全】XSS简介XSS测试平台截取用户COOKIE的探索
李响
03-15 1032
文章目录1 XSS简介2 XSS分类3 XSS原理演示4 XSS测试平台使用4.1 指引文档4.2 勾选默认模块测试成功的返回值 1 XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入...
XSS平台搭建
weixin_30474613的博客
11-11 1335
简介: 在实施xss攻击的时候,需要有一个平台用来收集攻击获得猎物(cookie,用户名密码等);xss平台就是这样一个用于收取cookie,账号等信息的平台;可以使用外网的xss平台来测试外网的网站;也可以自己在本地搭建xss平台,测试本地搭建的web网站DVWA的漏洞 试验中,使用的xss平台是xsser 直接创建项目:在网站有xss的地方插入项目中的代码,执行的时候会把对应的...
XSS是什么
weixin_34087503的博客
10-04 992
1、XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。  2、恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。  3、XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程...
xss介绍
千寻的博客
01-02 1167
一.概述 XSS 被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(JS)完成恶意的攻击行为。JS 可以非常灵活的操作html、css和浏览器,这使得XSS 攻击的“想象”空间特别大。 XSS 通过将精心...
什么是xss?
weixin_55539817的博客
08-27 8209
xss原理:xss又叫css,全称跨站脚本攻击。它是指攻击者往web页面或url里插入恶意JavaScript脚本代码且应用程序对用户输入的内容没有过滤,那么当正常用户浏览该页面时,嵌入在web页面的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。 漏洞的位置:数据交互与输出的地方。 漏洞产生的两个条件:1.用户可以控制的输入点。 2.输入能返回到前端的页面上被浏览器当成脚本语言解析执行。 xss漏洞的...
xss注入
weixin_30735745的博客
01-17 74
一 HTML标签之间的注入 (<div>[输出]</div>); 最常用着input标签或者url中 ①比如弹幕 通过input获取输入的值,然后在生成li标签插入文档中,这种情况如果用的是原生的innerHTML,则对于的script标签不起作用,因为浏览器对插入body中的内容作了HTML entity编码,所以像插入类型的 <script&gt...
XSS-labs挑战解析:从Level1到Level3的攻破策略
0x00 XSS-labs简介 XSS-labs是针对XSS攻击的学习环境,提供了一系列的挑战关卡,帮助学习者理解XSS漏洞的原理和利用方式。作者在Gitee上分享了源码,方便下载和本地运行,以便进行实战练习。 0x01 Level1 - 无过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值