xss 攻击防御

最新推荐文章于 2022-11-10 16:23:39 发布
最新推荐文章于 2022-11-10 16:23:39 发布
阅读量290 收藏
点赞数
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17612199/article/details/51646837
版权

XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

过程

假如有下面一个textbox

<input type="text" name="address1" value="value1from">

value1from是来自用户的输入,如果用户不是输入value1from,而是输入 "/><script>alert(document.cookie)</script><!- 那么就会变成

<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">

嵌入的JavaScript代码将会被执行
或者用户输入的是 

"onfocus="alert(document.cookie)

那么就会变成 

<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

事件被触发的时候嵌入的JavaScript代码将会被执行
攻击的威力,取决于用户输入了什么样的脚本
当然用户提交的数据还可以通过QueryString(放在URL中)和Cookie发送给服务器。

Java

package org.digdata.swustoj.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 
 * @author wwhhf
 * @since 2016年6月12日
 * @comment 进行xss攻击过滤
 */
public class XssFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void destroy() {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper(
                (HttpServletRequest) request), response);
    }

}

package org.digdata.swustoj.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

/**
 * 
 * @author wwhhf
 * @since 2016年6月12日
 * @comment 获取request里面的关键信息时进行xss过滤
 * 
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        return super.getHeader(name);
    }

    @Override
    public String getQueryString() {
        return super.getQueryString();
    }

    @Override
    public String getParameter(String name) {
        return StringEscapeUtils.escapeHtml4(super.getParameter(name));
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++) {
                escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }

}
wanhf11
关注
专栏目录
xss防御
p525525的博客
11-22 368
以上是xss防御,有需要可以看一下
java web xss防御_JavaWeb XSS攻击防御
weixin_33985453的博客
02-16 291
XSS概述跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。实现Filter,实现XSS过滤器package com.bj58.qf.filter;import javax.servlet.*;import javax.servlet...
XSS攻击 header(‘Location: ‘.$_GET[‘x‘]); 笔记
hello world
02-17 846
前言 笔记来于 《web前端黑客技术揭秘》 第三章 书上原话: 第二个:http://www.foo.com/xss/re-flect2.php的代码如下。 <?php header('Location: '.$_GET['x']); ?> 输入x的值作为响应头部的Location字段值输出,意味着会发生跳转,触发XSS的其中一种方式如下 http://www.foo.com/book/reflect2.php?x=data:text/html;base64,PHNjcmlwd
安全-反射性xss基础注入
m0_63069714的博客
11-08 1534
2、下面代码是通过正则表达式,将get上传到的参数进行了过滤,将" ( ", " ) ", " & ", " \\ ", " < ", " > ", " ' "这些符号进行了替换,替换结果为空。因此()被过滤掉了。onerror是javascript的函数遵循的javascript的语法,在javascript的语法当中,符号是不能进行编码的,因此%28和%29是无法解码的,因此无法弹窗。想通过对()进行urlcode编码的方式绕过正则表达式的过滤,实现弹窗,不使用其他编码是因为都被正则表达式过滤掉了。
xss漏洞
WHearTBeat的博客
11-10 249
xss漏洞
xss攻击突破转义_浅谈如何防御xss攻击
weixin_39619451的博客
11-21 360
笔前闲聊 最近都在写一些防守型文章,是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是写一些防御型文章来把一些知识加强理解,在脑子里形成自己的知识脑图。认识xss 首先还是来了解什么是xss,师傅们对这个东西估计也挺熟的啦,我就直接上百度了。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法...
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
【ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
.NET Core XSS 攻击防御方法 在 ASP.NET 编程中,XSS 攻击是一种常见的安全威胁,它允许恶意用户将代码植入到提供给其他用户使用的页面中。为防御 XSS 攻击,需要对用户输入的数据进行过滤和sanitization。本文将...
web安全之XSS攻击防御pdf
08-25
### Web安全之XSS攻击防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
WEB安全实战(五)XSS 攻击的另外一种解决方案(推荐)
紫羽风的博客
11-20 2万+
序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对最近工作中的一些新的问题。那么之前是怎么解决这个问题的呢?为什么又要换解决方案?下面就详细的跟大家分享一下。 旧方案 公司的测试团队发现这个问题之后,就要求尽快的解决,在网上查了很多相关的资料,也翻阅了基本安全方面的书,基于 XSS攻击原理,自己写了一个 Filter,并在该
XSS漏洞攻击(一)
qwzf
07-16 2534
XSS漏洞攻关(一) 前言 在了解xss之前,可以先了解一下下面这些内容 1.AJAX实现异步更新、跨域 2.常用命令document.write();``alert("");``document.cookie; 3.payload—意思为有效载荷,概念验证,即是漏洞验证脚本; Ajax跨域 1.允许单个域名访问 指定某域名跨域访问,只需在http://xx.com/xx.php文件头部添加如下...
Web安全:X-XSS-Protection头(防XSS攻击设置)
热门推荐
TivonaLH的博客
01-11 3万+
1.参考资料链接:https://www.freebuf.com/articles/web/138769.html 2.X-XSS-Protection头的三个值 0: 表示关闭浏览器的XSS防护机制 1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置 1; mode=bl...
XSS跨站脚本攻击防御
MzHeader的博客
03-03 9283
XSS跨站脚本攻击防御 1.什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话:*所有的输入都是有害的...
php防乱码header头,防范xss代码恶意攻击PHP_header头设置
weixin_39895167的博客
03-18 347
xss攻击:cross site scripting加上这些header头,可以防止xss攻击if(!headers_sent()){header('X-Frame-Options:SAMEORIGIN');header('X-XSS-Protection:1;mode=block');header('X-Content-Type-Options:nosniff');}X-Frame-...
js获取header_【超详细入门教程】通过xss获取管理员明文账号密码
weixin_39662611的博客
12-01 704
0x00前言本文所讲的知识点很早就有,只是因为最近小伙伴讨论的比较多,而且很多小伙伴不太明确流程,故有了此文,大佬请忽略xss大家都不陌生,最常用的就是打管理员的cookie然后拿到后台权限。但是在实战过程中会碰到很多因素导致无法获得权限或者权限维持困难,下面列举了三点。随着开发者安全意识的提高,现在基本上都是开了httponly了,也就是说xss无法读取到cookie了(除了包含登...
XSS攻击原理分析与防御技术
weixin_34161083的博客
02-21 400
跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意javaScript代码,当用户浏览该页之时,嵌入其中Web里面的javaScript代码会被执行,从而达到恶意攻击用户的目的。 一个简单的XSS攻击 代码: async function(ctx, next){ ctx.se...
跨站脚本攻击XSS)分类介绍及解决办法
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
HTML 事件
weixin_30325487的博客
02-11 200
1、HTML 全局事件属性   HTML4 的新特性之一就是可以使 HTML 事件触发浏览器中的行为,比方说当用户点击某个 HTML 元素时启动一段 JavaScript,在 HTML5 中还增加了一些新的事件属性。   HTML 事件就是发生在 HTML 元素上的事情。当在 HTML 页面中使用 JavaScript 时, JavaScript 就可以触发这些事件。HTML 事件可以是浏览器...
关于XSS攻击及其防御
Wang的专栏
06-04 3876
【代码】关于XSS攻击及其防御
springboot xss攻击防御
最新发布
07-25
在Spring Boot中防御XSS攻击有以下几种方法: 1. 输入过滤:对用户输入的数据进行过滤,移除或转义特殊字符。可以使用HTML转义库,如`HtmlUtils.htmlEscape()`来转义用户输入的HTML字符。 2. 输出编码:在将用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值