防xss攻击总结

最新推荐文章于 2023-12-12 15:01:17 发布
最新推荐文章于 2023-12-12 15:01:17 发布
阅读量342 收藏
点赞数
文章标签: 前端 xss
原文链接:https://www.iteye.com/blog/hw1287789687-2315651
版权

原则

用户输入什么,数据库就存储什么.
在前端显示时,需要escape.

html标签的title属性也需要escape

看一个title属性未escape得例子:
在这里插入图片描述
html代码:
在这里插入图片描述
所以html标签的title属性也需要escape.
但是,如果使用jQuery的attr方法设置title,则不需要escape:

Js代码

setPreviewOrgFullName:function (orgFullName) {  
            if(orgFullName){  
                //去掉空格  
                orgFullName=Cjt.util.Format.trim(orgFullName);  
            }  
            var orgCutOffName = Util.omitTooLongString(orgFullName, this.config.truncationLength);  
            $('#preview_orgFullName').html(Cjt.escape(orgCutOffName)).attr('title', orgFullName);  
        }

注意:如果使用jQuery设置title,则不需要escape,
否则需要对title进行escape
如果能够保证title没有双引号,则不管哪种情况,都不需要escape.

jstl escape

Html代码

title="<c:out value="${bbs.answer}" default="" escapeXml="true"/>"

需要引入jstl的标签库:

Html代码

<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>  
<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>1  
2

如何实现企业名称超过14字符就截断

步骤:先截断,再escape
为什么呢?
如果先escape,那么字符串的长度就与原来不一致
js版本:

Js代码

var orgFullNameTmp = Util.omitTooLongString(orgName, me.config.truncationLength);  
                            $('ul.company-name').prepend(me.createOrgDom({  
                                orgId: resp.orgId,  
                                orgFullName: Cjt.escape(orgFullNameTmp),  
                                orgFullNameTitle: Cjt.escape(orgName)  
                            }));

freeMark:

Html代码

<#if item.orgName=="">未命名企业                                                   <#else>                                                <#escape x as x?html>  
                                                            <#if item.orgName?length lt 15   >  
                                                                ${item.orgName}  
                                                                <#else>  
   ${item.orgName[0..13]}...  
    </#if>                                                  </#escape>  
                                                </#if>

title escape:

Html代码

title="<#escape x as x?html>${item.orgName}</#escape>"

jQuery中html,text方法

text 可以自动escape,所以不用手动escape,
text根据字面意思,就是不按照html解析,而是仅仅当做普通文本.
html()需要escape,因为html方法就是按照html来解析的.

Js代码

$('#agentNameP').html(xssTitle12).attr('title', agentFullName);  
            $('#preview_agentName').text(truncatTitle).attr('title', agentFullName);//预览的服务商

原文链接:https://www.iteye.com/blog/hw1287789687-2315651

编码博客控
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Javaxss攻击jar包
03-29
Javaxss攻击依赖jar包
XSS攻击解决办法
01-20
XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
Freemarker 语法规则
翔于 天空
08-10 815
Freemarker页面语法 A 概念 最常用的 3 个概念 sequence 序列,对应java 里的list 、数组等非键值对的集合 hash 键值对的集合 namespace 对一个ftl 文件的引用, 利用这个名字可以访问到该ftl 文件的资源 B 指令 if, else, elseif 语法 Java代码 1. 2. ......
如何XSS攻击
qq_36865778的博客
12-21 1800
76. 如何XSS攻击 例如:在提交的表单中写入 <script> windows.location = https://www.false.com/login.html </script> 如果这个代码被存入数据库,那么在将来这个数据被渲染在前端后,页面将自动跳转到假网站的登录页面。用户如果未发现是虚假网站,将数据提交,那么就会造成用户数据泄漏 解决方案 将文本信息转移后再存储 具体实现: import org.springframework.web.util.HtmlUt
xss攻击 java,XSS攻击的方式
weixin_29733427的博客
03-27 259
packagecom.joppay.admin.security.xss;importcom.fasterxml.jackson.databind.ObjectMapper;importcom.fasterxml.jackson.databind.module.SimpleModule;importorg.springframework.context.annotation.Bean;import...
freemarker默认escape html xss
weixin_33757911的博客
10-15 742
为什么80%的码农都做不了架构师?>>> ...
Web安全之XSS攻击御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
php_XSS攻击插件
05-29
总结,PHP的XSS护是一个重要的安全措施,通过使用如HTMLPurifier这样的库,我们可以有效地避免XSS攻击,保护用户的浏览器不受恶意脚本的侵害。正确理解和应用这些工具,是构建安全Web应用程序的关键步骤。
XSS攻击进阶篇.zip
09-27
**总结来说,XSS攻击是一种利用Web应用漏洞的攻击方式,通过注入恶意脚本影响用户浏览器,可能导致各种安全问题。了解其原理和御措施是网络安全中的重要一环,对于开发者和安全研究人员来说,持续学习和掌握XSS...
xss网络攻击.zip
08-12
XSS(Cross-Site Scripting)攻击是一种常见的网络...总结来说,XSS攻击是Web安全领域的一大威胁,需要开发者和用户共同警惕。通过理解和实施有效的御策略,我们可以大大降低XSS攻击带来的风险,保护用户的数据安全。
FreeMarker(七)Html转义
bingguang1993的博客
02-24 1634
在不做任何处理的情况下,往页面传一串Html代码,它会嵌套到页面代码中,一起被编译并且显示。 比如:某个用户把自己的用户名写成a标签,最后显示出来的用户名就是一个超链接 例: //传递的参数 map.put("sp6", "这是一段带有攻击性的字符串<a href='https://www.baidu.com/'>请点击</a>"); 1 2 页面代码: <ht...
Freemarker指令
hellomfq的专栏
12-09 113
一:if指令:&lt;#if condition&gt;...&lt;#elseif condition2&gt;...&lt;#elseif condition3&gt;......&lt;#else&gt;...&lt;/#if&gt;二:switch&lt;#switch value&gt;&lt;#case refValue1&gt;...&lt;#break&gt;&am
freemarker语法完整版
陈华江(HuaChiang Chen) 陈泉冰专栏
08-04 4595
freemarker语法完整版
网络安全-跨站脚本攻击(XSS)的原理、攻击及
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
最新发布
白帽黑客八哥的博客
12-12 5991
尽管许多网站实施了输入过滤措施来止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
XSS--学习篇
weixin_46865273的博客
05-03 235
XSS是什么 XSS全称是:跨站脚本攻击(cross site script) 是一种对前端页面进行攻击的手段 XSS的作用和危害 1、XSS可以操作浏览器盗用cookie,得到内网ip,获取保存的密码, 入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。 (2)窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。 (3)网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户
JQuery在XSS攻击中的表现
甘焕的博客
11-29 1万+
前端XSS攻击中,直接运用innerHTML属性赋值,脚本绝不会被解析,代码如下:var html = '<script>alert(100)</script>'; // 里面的脚本绝不会执行,不会弹出100信息 document.body.innerHTML = html;1. $.html被轻松注入如果改用JQuery来实现,则出现了令人惊讶的结果,JS代码被轻松注入,代码如下:var h
XSS攻击:理解危害与使用Hutool进行数据转义
总结起来,抵御XSS攻击需要开发者具备安全意识,对用户输入进行严格的验证和处理。引入合适的工具库,如Hutool,可以简化这一过程,提高应用的安全性。对于小程序开发,同样需要遵循这些原则,因为它们同样面临XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值