关于HTML 代码注入,XSS攻击问题解决

最新推荐文章于 2023-12-18 13:12:37 发布
最新推荐文章于 2023-12-18 13:12:37 发布
阅读量3.4w 收藏 32
点赞数 7
分类专栏: 干货 文章标签: html 脚本

大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。

如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。

如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击

一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:

<script>
   var body= document.body;             
   var img = document.createElement("img"); 
   img.setAttribute('style','width:100%;height:100%;z-index:99999;position:fixed;top:0px;')
   img.src = "https://www.baidu.com/img/bd_logo1.png";  
   body.appendChild(img); 
</script>
页面就会变成这样的

整个页面被整个图片覆盖掉
如果是其他的恶意攻击,是可以入侵到你的服务器然后获取到shell 。

二、解决方法:

1、前端过滤

(a)、javascript 原生方法
//转义  元素的innerHTML内容即为转义后的字符  
function htmlEncode ( str ) {  
  var ele = document.createElement('span');  
  ele.appendChild( document.createTextNode( str ) );  
  return ele.innerHTML;  
}  
//解析   
function htmlDecode ( str ) {  
  var ele = document.createElement('span');  
  ele.innerHTML = str;  
  return ele.textContent;  
}
(b)、JQuery 方法
function htmlEncodeJQ ( str ) {  
    return $('<span/>').text( str ).html();  
}  

function htmlDecodeJQ ( str ) {  
    return $('<span/>').html( str ).text();  
}
调用方法
var msg1= htmlEncodeJQ('<script>alert('test');</script>');
var msg1= htmlEncode('<script>alert('test');</script>');
//结果变成:&lt;script&gt;alert('test');&lt;/script&gt;

2、后端过滤

我这里是JAVA 的,其他的另百度

(a)、java 一些框架自动工具类,
比如:org.springframework.web.util.HtmlUtils
public static void main(String[] args) {
    String content = "<script>alert('test');</script>";
    System.out.println("content="+content);
    content = HtmlUtils.htmlEscape(content);
    System.out.println("content="+content);
    content = HtmlUtils.htmlUnescape(content);
    System.out.println("content="+content);
}

但这样有个问题,就是它全部的html标签都不解析了。
可能这不是你想要的,你想要的是一部分解析,一部分不解析。好看下面。
(b)、自己用正则来完成你的需求

下面给你demo ,根据你自己的需求来改就好了。

package top.lrshuai.blog.util;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * 
 * @author lrshuai
 * @since 2017-10-13
 * @version 0.0.1
 */
public class HTMLUtils {
/**
 * 过滤所有HTML 标签
 * @param htmlStr
 * @return
 */
public static String filterHTMLTag(String htmlStr) {
    //定义HTML标签的正则表达式 
    String reg_html="<[^>]+>"; 
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr); 
    htmlStr=matcher.replaceAll(""); //过滤html标签 
    return htmlStr;
}

/**
 * 过滤标签,通过标签名
 * @param htmlStr
 * @param tagName
 * @return
 */
public static String filterTagByName(String htmlStr,String tagName) {
    String reg_html="<"+tagName+"[^>]*?>[\\s\\S]*?<\\/"+tagName+">";
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr); 
    htmlStr=matcher.replaceAll(""); //过滤html标签 
    return htmlStr;
}

/**
 * 过滤标签上的 style 样式
 * @param htmlStr
 * @return
 */
public static String filterHTMLTagInStyle(String htmlStr) {
    String reg_html="style=('|\")(.*?)('|\")";
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr); 
    htmlStr=matcher.replaceAll(""); //过滤html标签 
    return htmlStr;
}

/**
 * 替换表情
 * @param htmlStr
 * @param tagName
 * @return
 */
public static String replayFace(String htmlStr) {
    String reg_html="\\[em_\\d{1,}\\]";
    Pattern pattern =Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr);
    if(matcher.find()) {
        matcher.reset();
        while(matcher.find()) {
            String num = matcher.group(0);
            String number=num.substring(num.lastIndexOf('_')+1, num.length()-1);
            htmlStr = htmlStr.replace(num, "<img src='/face/arclist/"+number+".gif' border='0' />");
        }
    }
    return htmlStr;
}

    public static void main(String[] args) {
        String html = "<script>alert('test');</script><img src='/face/arclist/5.gif' border='0' /><div style='position:fixs;s'></div><style>body{color:#fff;}</style><Style>body{color:#fff;}</Style><STYLE>body{color:#fff;}</STYLE>";
        System.out.println("html="+html);
        html = HTMLUtils.filterTagByName(html, "style");
        System.out.println("html="+html);
        html = HTMLUtils.filterTagByName(html, "script");
        System.out.println("html="+html);
        html = HTMLUtils.filterHTMLTagInStyle(html);
        System.out.println("html="+html);
    }

}
下班了,哪天有空再补充

参考自: http://blog.csdn.net/taoerchun/article/details/50778799
正文到此结束,谢谢观看,觉得有用,点个赞可好!!!
博客:http://www.lrshuai.top/blog

胖不了小陆
关注
  • 7
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
XSS注入(跨站脚本攻击)原理与实践
打工人的自我修养
04-26 1273
XSS注入是一种最普遍的网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。
html代码工作原理,浏览器工作原理与XSS-HTML编码
weixin_39853968的博客
05-30 387
简介编码问题一直是个痛点,尤其是当我们对XSS攻击原理不是很熟悉的话,防护起来很容易造成遗漏。要想很好的防护住XSS攻击,需要对浏览器解析HTML、JS、CSS的原理弄清楚,了解浏览器的工作原理,才能做好防护工作。小编也是搜集网上资料进行学习,并整理分享下该篇文档。(一)浏览器的结构浏览器的主要组件,包含用户界面、浏览器引擎、呈现引擎、网络、用户界面后端、JavaScript解释器、数据存储。这里...
springboot xss攻击解决html转化编码HtmlUtils.htmlEscape
u011291969的专栏
12-18 383
2. 判断参数对象中的带有注解@NoXss 并且是字符串类型,将字符串转码为非html代码。1. 创建自定义注解@NoXss,主要是方法和参数上。1. 只能验证参数的第一层。2. 没有做报错异常处理。xss 攻击不再介绍。1. 创建自定义注解。
利用Spring中的HtmlUtils.htmlEscape(input)过滤html
afei2530的博客
01-29 4120
fatherModule.setModuelName(HtmlUtils.htmlEscape(fatherModule.getModuelName())); log.info(HtmlUtils.htmlEscape(fatherModule.getModuelName())); log.info(fatherModule); ...
Spring HtmlUtils把HTML编码转义,可将HTML标签互相转义
热门推荐
LzwGlory的专栏
12-09 2万+
org.springframework.web.util.HtmlUtils 可以实现HTML标签及转义字符之间的转换。  代码如下:  Java代码   /** HTML转义 **/   String s = HtmlUtils.htmlEscape("hello world ");   System.out.println(s);   String
WEB漏洞测试——HTML注入XSS注入
勇敢( ఠൠఠ ),不怕困难
07-15 3874
HTML注入 原理 目前我们所接触展示页面基本上都是由html来实现的,那么后台在处理内容的时候,是对html很少处理的,如果用户刻意通过输入框、文本框、查询框来填写html、js代码(脚本注入),那么就会造成漏洞,若填写恶意网站,病毒网站,这样是很恐怖的。 举个栗子 新建项目标题中添加html标签注入测试 结果:真的变成了一个链接 点击这个连接可以跳转过去,如果不是百度的连接,而是恶意网站呢 功能快捷键 撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/C
HTML编码转义,可将HTML标签互相转义
Ray
09-02 587
org.springframework.web.util.HtmlUtils 可以实现HTML标签及转义字符之间的转换。 代码如下: [code="java"] /** HTML转义 **/ String s = HtmlUtils.htmlEscape("hello world&nbsp;"); System.out.println(s); String s2 = HtmlUti...
html注入跨站攻击脚本,跨站脚本攻击XSS
weixin_39888180的博客
06-23 1836
跨站脚本攻击(XSS)是一种客户端代码注入攻击攻击者通过在合法的网页中注入恶意代码,达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时,攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。如果网页将用户的原始输入作为网页内容,那么它很容易受到 XSS 攻击,因为这类用户输入一定会被受害者的浏览器解析。...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在防止XSS攻击方面,ESAPI的`encodeForHTML()`和`encodeForJavaScript()`方法能够对用户输入进行编码,确保浏览器不会将其解析为可执行的HTML或JavaScript代码。 接下来,我们将讨论如何在SpringBoot项目中集成ES...
JSP Struts过滤xss攻击解决办法
10-19
**JSP Struts过滤XSS攻击解决办法** 在Web应用程序开发中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而盗取用户数据或执行其他恶意操作。JSP与Struts...
扫描sql注入xss攻击的牛b工具
11-02
在网络安全领域,SQL注入XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。...通过熟练掌握这些知识和工具,你将能够更好地保护自己和他人的系统免受SQL注入XSS攻击的威胁。
挖洞经验 | 可以被XSS利用的HTML标签和一些手段技巧,靠挖SRC漏洞每月多赚15k
jennycisp的博客
10-26 784
*”。**网上关于XSS的教程数不胜数,转载来转载去的,就是那么些Payload,可能看的人晕晕的不知所以然。而且还有很多Payload就算把其中的HTML代码闭合后写在自己的前端中,都不一定触发,因为很多老的标签和事件都已经被W3C给废弃了。本文首先给大家总结一下目前通用可以拿来构造XSSHTML标签和一些标签事件,然后再给大家讲述一些绕过的技巧,教你在么构造出属于你自己渗透时真正需要的Exp。
Spring的优秀工具类盘点(二)
v_fei的专栏
01-05 790
 Java代码Spring 不但提供了一个功能全面的应用开发框架,本身还拥有众多可以在程序编写时直接使用的工具类,您不但可以在 Spring 应用中使用这些工具类,也可以在其它的应用中使用,这些工具类中的大部分是可以在脱离 Spring 框架时使用的。了解 Spring 中有哪些好用的工具类并在程序编写时适当使用,将有助于提高开发效率、增强代码质量。在这个分为两部分的文章中,我
spring html转义字符,使用Spring提供的HtmlUtils实现HTML字符转义
weixin_32307021的博客
05-31 702
Spring框架中提供了一个用于HTML字符转义的工具类org.springframework.web.util.HtmlUtils,使用方式如下代码:import org.springframework.web.util.HtmlUtils;public class TestHtmlEscape {public static void main(String[] args) {String ht...
用一个过滤html实例来说明HttpServletRequestWrapper类的使用
hhj13978064496的博客
09-29 342
引入 实例的功能:对用户输入的敏感字眼进行过滤 应用场景:评论功能有时候需要对用户输入的某些敏感字眼进行过滤 实现架构: 模块一:前端页面:提供用户输入的界面,展示用户输入的内容 模块二:过滤器:对某些敏感字眼的过滤功能在此实现 模块三:servlet:在本实例中,因为用户的输入最终显示在用户输入的界面,因此servlet需要将用户输入的内容保存到request中,并且用requestDispatcher类请求转发到首页 示意图为: 源码: 首页index.jsp的源码如下:
html双角引符编码,XSS攻击常识及常见的XSS攻击脚本汇总
weixin_39869197的博客
07-18 248
一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。二、XSS分类XSS有三类:反射型XSS(非持久型)、存储型XSS(持久型)和DOM XSS1、反射型XSS发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回...
【前端开发必知】HTML特殊字符转义及编码
等风来
08-25 9586
HTML 中,有一些特殊字符不可直接使用,需要使用转义字符或实体编码来表示。这是为了避免这些字符与 HTML 标签和语法产生冲突。同时,也是为了防范前端XSS。 例如,有些特殊字符(如 < 和 >)作为HTML标签的一部分,要是没有被特殊处理可能被恶意XSSHTML的特殊字符转义及编码在防范跨站脚本攻击(Cross-Site Scripting, XSS)方面起到关键作用。XSS是一种常见的安全漏洞,攻击者通过在受信任网站上插入恶意脚本,使其在用户浏览器中执行。
sql注入 xss攻击和csrf攻击的区别
最新发布
06-13
SQL注入XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中插入恶意SQL代码,欺骗应用程序执行非授权的数据库查询,可能获取敏感信息或修改数据。 - **目标**:主要影响Web应用程序后端数据库,试图访问或操控存储在服务器的数据。 - **示例**:尝试在登录表单中输入"\' OR '1'='1",可能导致所有用户登录。 2. XSS攻击: - **定义**:攻击者在网站上植入恶意脚本,当用户访问含有这些脚本的页面时,脚本会在用户的浏览器上执行,可能窃取用户信息或控制用户的会话。 - **目标**:影响用户浏览器,操纵前端显示内容,或利用用户的行为进行攻击。 - **示例**:在网页中添加未过滤的用户评论,评论中包含HTML代码,如`<img src="malicious.com">`,可能导致恶意图片加载或跟踪。 3. CSRF攻击: - **定义**:攻击者通过伪装成合法用户,利用受害者已经登录的身份,发送请求到受信任的网站执行未经授权的操作,如转账、修改设置等。 - **目标**:利用用户的已认证状态,进行无需用户干预的恶意操作。 - **示例**:网站提供一个“一键购买”功能,如果一个恶意网站包含一个隐藏的表单,填充了受害者账户信息并指向该功能,用户无意点击后可能会完成购买。 相关问题: 1. 如何防止SQL注入攻击? 2. XSS攻击通常如何防御? 3. CSRF攻击如何通过令牌机制来防范?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值