web安全之XSS攻击原理及防范

最新推荐文章于 2024-06-26 09:45:00 发布
最新推荐文章于 2024-06-26 09:45:00 发布
阅读量1k 收藏
点赞数
分类专栏: Web前端 文章标签: 经验分享 前端 前端框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69940800/article/details/124567427
版权
本文详细介绍了XSS攻击的原理,包括利用location、iframe等造成XSS的情况。并提出多种防御策略,如设置cookie的http-only、启用X-XSS-Protection、进行HTML编码、HTML属性编码、JavaScript编码、URL编码和CSS编码。同时,建议使用CSP(Content-Security-Policy)来增强网页安全性,防止跨站脚本攻击。
摘要由CSDN通过智能技术生成

代码如下:

点击一样也会弹窗窗口的。也会一样执行xss攻击的。

  1. 使用location/location.href/location.replace/iframe.src 造成的XSS

如下代码:

刷新下页面,也会弹出窗口执行 xss攻击了。

[](()cookie安全策略

=============================================================================

在服务器端设置cookie的时候设置 http-only, 这样就可以防止用户通过JS获取cookie。对cookie的读写或发送一般有如下字段进行设置:

  • http-only: 只允许http或https请求读取cookie、JS代码是无法读取cookie的(document.cookie会显示http-only的cookie项被自动过滤掉)。发送请求时自动发送cookie.

  • secure-only: 只允许https请求读取,发送请求时自动发送cookie。

  • host-only: 只允许主机域名与domain设置完成一致的网站才能访问该cookie。

[](()X-XSS-Protection设置

=====================================================================================

目前该属性被所有的主流浏览器默认开启XSS保护。该参数是设置在响应头中目的是用来防范XSS攻击的。它有如下几种配置:

值有如下几种:默认为1.

  • 0:禁用XSS保护。

  • 1:启用XSS保护。

1;mode=block; 启用xss保护,并且在检查到XSS攻击是,停止渲染页面。

[](()XSS防御HTML编码

========================

最低0.47元/天 解锁文章
Android木子李
关注
专栏目录
微信小程序界面开发5wxss
lpabjt的博客
01-21 327
微信小程序界面开发5
关于XSS攻击及其防御
Wang的专栏
06-04 3862
【代码】关于XSS攻击及其防御
11.xsshref输出
最新发布
愿听风成曲
06-26 539
xsshref输出绕过:javascript:alert(1111) 直接代入a标签herf里面一样可以绕过htmlspecialchars。后台配置文件中的代码。
渗透测试-xss安全防御href输出和js输出
lza20001103的博客
04-24 3004
xss安全防御href输出和js输出
微信小程序笔记6WXSS模板样式、全局配置(window和tabBar)、页面配置(含代码以及案例开发)
weixin_53669566的博客
04-11 976
(二)rpx 什么是rpx rpx的实现原理 rpx与px之间的单位换算* (三)样式导入 什么是样式导入 @import的语法 @import"/common/common.wxss"; (四)全局样式和局部样式 全局样式 app.wxss全局样式 view{ padding: 10rpx; margin: 10rpx; background-color: skyblue; } 局部样式 ...
XSShref输出,js输出防范措施
qq_43814486的博客
05-05 9209
防御总的原则:根据实际情况对输入做过滤,对输出做转义 href输出漏洞:输出出现在a标签的href属性里面,可以使用javascript协议来执行js 后端: $message=htmlspecialchars($_GET['message'],ENT_QUOTES); $html.="<a href='{$message}'> 可以看到,虽然对htmlspecialchars()...
web安全XSS攻击原理防范(1),2024年最新网络安全高级开发面试题以及答案
jixuczy的博客
04-15 710
和HTML编码一样,html中的属性也要进行编码,比如 这样的,name是input的属性,因此在html解析时,会对name属性进行编码,因为假如{name} 的值为:" " οnclick=“alert(‘属性XSS’)” " " 这样的,也就是说input变成这样的了,,input属性name被插入onclick事件了,因此也需要针对这种常规的html属性,都需要对其进行HTML属性编码。mode=block;
微信小程序 笔记3 WXSS
mxb1234567的博客
03-05 278
WXSS(WeiXin Style Sheets)具有CSS大部分特性。同时为了更适合开发微信小程序,WXSS对 CSS进行了扩充以及修改。主要体现在两个方面: 尺寸单位 样式导入 CSS两种写法: 内嵌(内联)样式,行内样式,外链样式,导入样式 优先级:行内>内嵌>外链 导入方式 /**temp.wxss**/ .haha{ background: pink; ...
XSS漏洞 href和js输出,以及常见防范措施
Ethan024的博客
03-14 1774
XSS漏洞,href和js输出,以及常见防范措施(本文仅供技术学习与分享) 原则: 输入做过滤,输出做转义 过滤:根据业务需求进行过滤,比如输入点要求输入手机号,则只允许输入手机号格式的数字; 所有输出前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义; 实验准备: 皮卡丘靶场:xsshref输出 皮卡丘靶场:xss只js输出 实验步骤: xsshref输出: 构造payload:javascript:alert(111)并查看源码(hr
微信小程序使用websocket防止 XSS 和 CSRF攻击
weixin_38120360的博客
03-24 886
2. 在服务器端,需要验证请求中的 CSRF Token 是否正确,避免恶意请求被执行。可以在每次请求时,从请求头中获取 CSRF Token,并与服务器端保存的 Token 进行比较。1. 在发送请求时,需要添加 CSRF Token,避免恶意请求被执行。可以在登录时生成一个 CSRF Token,并在每次请求时将其添加到请求头中。// 在服务器端,验证请求中的 CSRF Token 是否正确。// 在发送请求时,添加 CSRF Token 到请求头中。// CSRF Token 不正确,拒绝请求。
3-12xss防范措施及href和js输出点的案例演示
山兔的博客
04-29 1224
XSS常见防范措施 总的原则:输入做过滤,输出做转义  过滤:根据业务需求进行过滤,比如输入点要求输入手机号,在后端写一个逻辑,只允许输入手机号格式的数字。  转义:所有输出前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义。 案例演示 我们选择xsshref输出,这个地方,我们直接看源码 如果你输入的内容,不是百度,它会把你输入的内容,用htmlspecialchars()进行处理,同时它这里也用了ENT_QUOTES这么个类型,这意味着’"&
实验32:xss防范措施及href和js输出点的案例演示
qq_44720671的博客
04-29 381
xss防范措施及href和js输出点 一、防范措施 总结:输出做过滤,输出做转义。 二、href输出 我们以pikachu为例,打开xsshref输出 先输入:javascript:alert(666) 然后查看一下源码 再回来点一下 即可得到: 三、js输出 我们以pikachu为例,打开xss之js输出 先随意输入一些字符,打开源代码 我们就可以知道,当输入“tmac”时会有东西弹...
XSS 的攻击和防御
dzqxwzoe的博客
01-14 222
Cross Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。通过这些恶意的脚本,攻击者可获取用户的敏感信息如:Cookie、Session等。Cross Site Scripting 的英文首字母缩写应为 CSS,但是因为其和我们的样式语法 CSS(Cascading Style Sheets)一样,所以将 CSS 改成 XSS
XSS原理、攻击方式、一些绕过姿势和防御方法
weixin_51519028的博客
09-16 2950
XSS原理、利用手法、绕过姿势、以及防御方法
微信小程序开发资料
weixin_30832405的博客
04-17 272
1.WXML 1.1 小程序的WXML没有HTML的宽容度​那么高,单标签必需是 /> 结尾的。不然会报错。 1.2 ​官方推荐使用的基础标签<view>是块标签,给了<text>作为文本标签,但是使用其他标签比如div也是可以使用的,并且都是inline标签。并且wxml的parser会把标签上的不在白名单上的属性都去掉,class, id, data 这些应该...
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3372
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网站的安全性。
Web前端安全策略之XSS的攻击与防御
2401_84097678的博客
04-08 830
这是最普遍的一种XSS攻击方式, 攻击的流程大致是:用户访问服务器——跨站的链接——返回跨站的代码这个定义看起来非常的抽象,我们用一个例子来讲解一下。例如html中有一个代码如下的 a 标签。
Web安全系列(四):XSS防御
2301_77472496的博客
04-26 400
XSS防御很复杂,并不是一套防御机制就能就解决的问题,它需要具体业务具体实现。目前来说,流行的浏览器内都内置了一些XSS 过滤器,但是这只能防御一部分常见的XSS,而对于网站来说,也应该一直寻求优秀的解决方案,保护网站及用户的安全,接下来将阐述一下网站在设计上该如何避免XSS的攻击。HttpOnly最早是由微软提出,并在IE 6中实现的,至今已经逐渐成为一个标准,各大浏览器都支持此标准。具体含义就是,如果某个Cookie带有HttpOnly属性,那么这一条Cookie将被禁止读取,也就是说,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值