建议过滤用户输入的数据,切记用户的所有输入都要认为是不安全的。

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量2k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19551571/article/details/86559954
版权

目标存在跨站脚本攻击。 1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害: 1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。 2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的

 

解决办法

就是登陆的时候防止跨站脚本攻击

及登陆的时候做拦截器 以spring boot 为例

 

package com.vortex.cloud.ccx.product.interceptors;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@Configuration
public class LoginConfiguration extends WebMvcConfigurerAdapter {

   @Override
   public void addInterceptors(InterceptorRegistry registry) {
      registry.addInterceptor(new LoginInterceptor()).addPathPatterns("/frame/login");
   }

}

 

package com.vortex.cloud.ccx.product.interceptors;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

public class LoginInterceptor implements HandlerInterceptor {


   @Override
   public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
      //对特殊字符进行判断
      String loginId = request.getParameter("loginId");
      String password = request.getParameter("password");
      String remember = request.getParameter("remember");
      String regEx="[`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:”“’。,、?]";
      Pattern p = Pattern.compile(regEx);
      Matcher mLoginId=p.matcher(loginId);
      Matcher mPassword=p.matcher(password);
      Matcher mRemember=p.matcher(remember);
        if (mLoginId.find()||mPassword.find()||mRemember.find()){
           response.sendRedirect("/frame/index");
           return false;
        }
      return true;
   }

   @Override
   public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

   }

   @Override
   public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

   }


}

登陆的时候做个拦截

 

 

 

旁噶铺思米大
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Web漏洞
u013795673的博客
09-08 1635
跨站脚本攻击漏洞 描述:目标存在跨站脚本攻击。 1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意 代码就会被执行。 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中 插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,
过滤用户输入数据的文件
01-31
用360网站监测出现漏洞!建议过滤用户输入数据,跟好几个客服联系后得到此文件!分享一下
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
在ASP中过滤用户输入 提高安全
笑看人参----JAVA,WEB2.0,SOA...
01-14 1347
在ASP中过滤用户输入 提高安全性[日期:2003-12-23]来源:  作者:[字体:大 中 小] 安全对于所有应用程序来说都是十分重要的。一个简单应用程序里的某个失误都会造成对数据库或者其他企业资源未经授权的访问,因此安全尤其重要。一种常用的攻击方法是将命令嵌入到用户的回应里,而从用户输入过滤掉这些非法的字符就能够防止这种攻击。允许用户输入非法的字符会
spring拦截器, springboot过滤器 实现登录功能
weixin_47009272的博客
12-10 863
1.接收用户名和密码,判断是否正确(不正确返回错误信息,前端跳转到登录页面)2.正确则将用户数据存入Session3.使用拦截器拦截不开放的请求路径,拦截后判断Session中有无用户数据(有则放行请求,无则重定向到登录页面)
Http host 标头攻击
weixin_42451330的博客
06-27 6925
HTTP Host 标头攻击是一种网络安全攻击技术,利用了 HTTP 协议中的 Host 标头字段的漏洞。Host 标头字段用于指定客户端请求的目标主机名或域名。攻击者可以通过构造恶意的 HTTP 请求,伪造或篡改 Host 标头字段的值,从而欺骗服务器,让服务器误以为请求是针对其他主机或域名的。
如何有效防范host主机头攻击? (host主机头攻击)
joshua317的博客
09-01 803
随着网络攻击手段的不断升级,各类安全威胁不断涌现。作为一种针对Web服务器的攻击方式,host主机头攻击已经引起越来越多的关注。它利用了Web服务器上的漏洞,将解析出来的请求数据发送到其他Web主机上,从而实现欺骗、窃取用户数据等恶意行为。因此,防范host主机头攻击已经成为Web服务器运维、安全人员不容忽视的任务。
thinkphp多用户在线客服系统源码-thinkPHP内核 附使用教程
06-01
介绍: 步骤 1 请使用宝塔面板安装 上传源码并且解压到网站很目录 设置运行目录为public ...伪静态选择为thinkphp ...切记图文教程是php7.1,你实际要用 php5.6 配置好了记得重启php 然后在执行一次指令
敏捷开发用户故事系列(一-三)
02-01
全系列将涉及何为用户故事,面向客户价值编写故事,用户建模,产品待开发项的分类,...角色切记不要总是写“作为一个用户”,而是要把用户区别对待。这样才能更好地理解他们使用什么功能,如何使用,为何使用。比如“作
用expect 实现切换用户时自动输入密码.txt
09-03
昨天一个网友问如何能够将输入密码的工作在shell里面自动完成,研究了一下,发现这种交互式的工作,普通的shell实现不了,据说可以借助expect来搞定,所以初步学习了一下expect,成果和大家分享一下: 应用一: 实现...
用户体验之道
09-22
用户体验之道
网站SQL注入漏洞原理及解决办法
网络蚂蚁
10-26 2864
前段时间拿网站天气预报15天查询(http://tqybw.net)到360网站全检测,发现问题很严重,存在SQL注入漏洞,后来逐个排查,确保网站安全! 以下是网站SQL注入漏洞原理及解决办法,希望广大web开发人员注意和学习! 目标存在SQL注入漏洞。 1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。 2. SQL注入攻击就其本质而言,它利用
常见安全漏洞及其解决方案
网络安全
05-17 1万+
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
SpringBoot-过滤器的使用(在访问页面时过滤掉未登录的用户使其不能访问相应页面)
maohe的博客
01-25 2521
SpringBoot过滤器的使用,判断用户是否登录以确定是否有访问页面的权限。
AppScan安全检测工具,检测出的问题解决
yangye1225的博客
12-29 7944
一、跨站点脚本请求编制 二、跨站点请求伪造 三、HTTP动词篡改的认证旁路
网络安全XSS跨站脚本攻击漏洞和不安全HTTP方法的修补
Funky_oaNiu的博客
12-23 1816
一、项目背景 一个Springboot+MyBatis+Redis+MySQL的辣鸡小项目。奈何再小的项目也需要保证安全,今天提交给测试部门做渗透测试,打回来两个网络安全漏洞,网上有很多“模糊”的修改办法,我们来看看具体怎么修补吧。 二、漏洞描述 1.不安全的HTTP方法 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员
小白的渗透攻击学习记录
qq_39405602的博客
03-07 328
小白的渗透攻击学习记录前言系统和工具1.文件上传攻击(File Upload) 前言 大家好,本人是刚接触渗透攻击以及如何去防御的小白,本篇文章将会记录我自己的学习流程,同时也可以供其他小白学习。本文主要会记录我在学习渗透过程中遇到的问题,以及解决方案。欢迎其他大佬来指出我操作中的不足,还望大家多多关照。 系统和工具 本次学习流程中所用到的系统和工具 虚拟机管理器(Oracle VM VirtuaBox) 虚拟机1(Win10,Kali Linux,Ubuntu) 测试平台1(pikachu,OWASP)
HTTP Host 头攻击 -- 学习笔记
angry_program的博客
10-19 1万+
1. HTTPHost头攻击 从HTTP / 1.1开始,HTTP Host标头是必需的请求标头。 它指定客户端要访问的域名。 例如,当用户访问https://portswigger.net/web-security时,其浏览器将组成一个包含Host标头的请求,如下所示: GET /web-security HTTP/1.1 Host: example.net 在某些情况下,例如当请求由代理转发时,Host值可能会在到达预期的后端组件之前进行更改。也就发生了Host头攻击。 2. HT...
RTU-307F 用户手册
05-07
用户手册为用户提供了使用RTU-307F模块的详细说明和指导。 在开始操作之前,用户需要注意以下几点:首先,请仔细阅读本手册;其次,在安装配线之前,请先断开输入电源;在通电之前,请确保配线的正确性;切记不要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值