关于HTML 代码注入,XSS攻击问题解决

最新推荐文章于 2024-04-26 16:35:31 发布
最新推荐文章于 2024-04-26 16:35:31 发布
阅读量3.4w 收藏 32
点赞数 7
分类专栏: 干货 文章标签: html 脚本

大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。

如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。

如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击

一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:

<script>
   var body= document.body;             
   var img = document.createElement("img"); 
   img.setAttribute('style','width:100%;height:100%;z-index:99999;position:fixed;top:0px;')
   img.src = "https://www.baidu.com/img/bd_logo1.png";  
   body.appendChild(img); 
</script>
页面就会变成这样的

整个页面被整个图片覆盖掉
如果是其他的恶意攻击,是可以入侵到你的服务器然后获取到shell 。

二、解决方法:

1、前端过滤

(a)、javascript 原生方法
//转义  元素的innerHTML内容即为转义后的字符  
function htmlEncode ( str ) {  
  var ele = document.createElement('span');  
  ele.appendChild( document.createTextNode( str ) );  
  return ele.innerHTML;  
}  
//解析   
function htmlDecode ( str ) {  
  var ele = document.createElement('span');  
  ele.innerHTML = str;  
  return ele.textContent;  
}
(b)、JQuery 方法
function htmlEncodeJQ ( str ) {  
    return $('<span/>').text( str ).html();  
}  

function htmlDecodeJQ ( str ) {  
    return $('<span/>').html( str ).text();  
}
调用方法
var msg1= htmlEncodeJQ('<script>alert('test');</script>');
var msg1= htmlEncode('<script>alert('test');</script>');
//结果变成:&lt;script&gt;alert('test');&lt;/script&gt;

2、后端过滤

我这里是JAVA 的,其他的另百度

(a)、java 一些框架自动工具类,
比如:org.springframework.web.util.HtmlUtils
public static void main(String[] args) {
    String content = "<script>alert('test');</script>";
    System.out.println("content="+content);
    content = HtmlUtils.htmlEscape(content);
    System.out.println("content="+content);
    content = HtmlUtils.htmlUnescape(content);
    System.out.println("content="+content);
}

但这样有个问题,就是它全部的html标签都不解析了。
可能这不是你想要的,你想要的是一部分解析,一部分不解析。好看下面。
(b)、自己用正则来完成你的需求

下面给你demo ,根据你自己的需求来改就好了。

package top.lrshuai.blog.util;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * 
 * @author lrshuai
 * @since 2017-10-13
 * @version 0.0.1
 */
public class HTMLUtils {
/**
 * 过滤所有HTML 标签
 * @param htmlStr
 * @return
 */
public static String filterHTMLTag(String htmlStr) {
    //定义HTML标签的正则表达式 
    String reg_html="<[^>]+>"; 
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr); 
    htmlStr=matcher.replaceAll(""); //过滤html标签 
    return htmlStr;
}

/**
 * 过滤标签,通过标签名
 * @param htmlStr
 * @param tagName
 * @return
 */
public static String filterTagByName(String htmlStr,String tagName) {
    String reg_html="<"+tagName+"[^>]*?>[\\s\\S]*?<\\/"+tagName+">";
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr); 
    htmlStr=matcher.replaceAll(""); //过滤html标签 
    return htmlStr;
}

/**
 * 过滤标签上的 style 样式
 * @param htmlStr
 * @return
 */
public static String filterHTMLTagInStyle(String htmlStr) {
    String reg_html="style=('|\")(.*?)('|\")";
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr); 
    htmlStr=matcher.replaceAll(""); //过滤html标签 
    return htmlStr;
}

/**
 * 替换表情
 * @param htmlStr
 * @param tagName
 * @return
 */
public static String replayFace(String htmlStr) {
    String reg_html="\\[em_\\d{1,}\\]";
    Pattern pattern =Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr);
    if(matcher.find()) {
        matcher.reset();
        while(matcher.find()) {
            String num = matcher.group(0);
            String number=num.substring(num.lastIndexOf('_')+1, num.length()-1);
            htmlStr = htmlStr.replace(num, "<img src='/face/arclist/"+number+".gif' border='0' />");
        }
    }
    return htmlStr;
}

    public static void main(String[] args) {
        String html = "<script>alert('test');</script><img src='/face/arclist/5.gif' border='0' /><div style='position:fixs;s'></div><style>body{color:#fff;}</style><Style>body{color:#fff;}</Style><STYLE>body{color:#fff;}</STYLE>";
        System.out.println("html="+html);
        html = HTMLUtils.filterTagByName(html, "style");
        System.out.println("html="+html);
        html = HTMLUtils.filterTagByName(html, "script");
        System.out.println("html="+html);
        html = HTMLUtils.filterHTMLTagInStyle(html);
        System.out.println("html="+html);
    }

}
下班了,哪天有空再补充

参考自: http://blog.csdn.net/taoerchun/article/details/50778799
正文到此结束,谢谢观看,觉得有用,点个赞可好!!!
博客:http://www.lrshuai.top/blog

胖不了小陆
关注
  • 7
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
网页html源码注入,注入html源码到浏览器的几种方式
weixin_30818373的博客
06-10 2227
1、通过各浏览器提供的接口调用IE的COM接口,FF的插件、Chrome的API接口等;类似的实现有Selenium的webdriver支持的各种driver,它们都是调用了浏览器的原始接口。2、通过已有的第三方程序来间接调用浏览器:比如上面的所提到的webdriver所支持的各种driver;目前这些driver提供支持很多的浏览器操作,注入源码应该也提供了吧!具体的还没有试过,但是也算是一种可...
WEB漏洞测试——HTML注入及XSS注入
勇敢( ఠൠఠ ),不怕困难
07-15 3906
HTML注入 原理 目前我们所接触展示页面基本上都是由html来实现的,那么后台在处理内容的时候,是对html很少处理的,如果用户刻意通过输入框、文本框、查询框来填写html、js代码脚本注入),那么就会造成漏洞,若填写恶意网站,病毒网站,这样是很恐怖的。 举个栗子 新建项目标题中添加html标签注入测试 结果:真的变成了一个链接 点击这个连接可以跳转过去,如果不是百度的连接,而是恶意网站呢 功能快捷键 撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/C
XML、HTML注入和越权问题处理
LBJ_155207的博客
09-27 1022
原理:越权主要分为垂直越权和水平越权,垂直越权是指当一个普通用户使用管理员的信息能够获取到不属于自己权限内的信息。水平越权是指都是普通用户,但是不同部门不同组,却可以通过接口获取其他人的信息。处理:我们此次主要采用的是引入Security 框架,通过@PreAuthorize注解和自定义权限认证方法去进行接口管控(此方法主要用于水平越权)。使用的是antisamy-ebay.xml文件。使用方法:在接口层次上加 @PreAuthorize(“@pms.hasPermission(‘自定义的权限值’)”)
XSS注入(跨站脚本攻击)原理与实践
打工人的自我修养
04-26 1462
XSS注入是一种最普遍的网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。
html注入的入门教程
weixin_34364071的博客
07-08 385
HTML injection的背景: 1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢? 2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么? 什么是HTML injection: 有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML...
利用Spring中的HtmlUtils.htmlEscape(input)过滤html
afei2530的博客
01-29 4130
fatherModule.setModuelName(HtmlUtils.htmlEscape(fatherModule.getModuelName())); log.info(HtmlUtils.htmlEscape(fatherModule.getModuelName())); log.info(fatherModule); ...
Spring HtmlUtilsHTML编码转义,可将HTML标签互相转义
热门推荐
LzwGlory的专栏
12-09 2万+
org.springframework.web.util.HtmlUtils 可以实现HTML标签及转义字符之间的转换。  代码如下:  Java代码   /** HTML转义 **/   String s = HtmlUtils.htmlEscape("hello world ");   System.out.println(s);   String
springboot xss攻击解决html转化编码HtmlUtils.htmlEscape
u011291969的专栏
12-18 412
2. 判断参数对象中的带有注解@NoXss 并且是字符串类型,将字符串转码为非html代码。1. 创建自定义注解@NoXss,主要是方法和参数上。1. 只能验证参数的第一层。2. 没有做报错异常处理。xss 攻击不再介绍。1. 创建自定义注解。
用一个过滤html实例来说明HttpServletRequestWrapper类的使用
hhj13978064496的博客
09-29 357
引入 实例的功能:对用户输入的敏感字眼进行过滤 应用场景:评论功能有时候需要对用户输入的某些敏感字眼进行过滤 实现架构: 模块一:前端页面:提供用户输入的界面,展示用户输入的内容 模块二:过滤器:对某些敏感字眼的过滤功能在此实现 模块三:servlet:在本实例中,因为用户的输入最终显示在用户输入的界面,因此servlet需要将用户输入的内容保存到request中,并且用requestDispatcher类请求转发到首页 示意图为: 源码: 首页index.jsp的源码如下:
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
JSP Struts过滤xss攻击解决办法
10-19
**JSP Struts过滤XSS攻击解决办法** 在Web应用程序开发中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而盗取用户数据或执行其他恶意操作。JSP与Struts...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在防止XSS攻击方面,ESAPI的`encodeForHTML()`和`encodeForJavaScript()`方法能够对用户输入进行编码,确保浏览器不会将其解析为可执行的HTML或JavaScript代码。 接下来,我们将讨论如何在SpringBoot项目中集成ES...
扫描sql注入xss攻击的牛b工具
11-02
在网络安全领域,SQL注入和XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。...通过熟练掌握这些知识和工具,你将能够更好地保护自己和他人的系统免受SQL注入XSS攻击的威胁。
sql注入xss攻击常见形式和解决方法
01-01
SQL 注入和 XSS 攻击防范方法 SQL 注入攻击是指攻击者通过在表单中填入特殊的字符或者在 URL 中增加特殊的字符,然后想数据库发起请求,拼凑出 SQL 语句,达到攻击的目的。这种攻击方式可以通过在表单中填入特殊的...
Java防止xss攻击附相关文件下载
08-25
以下是一些关于Java防止XSS攻击的关键知识点: 1. **使用Filter拦截器**: 在Java Web应用中,可以使用Servlet Filter来拦截和处理HTTP请求。Filter可以在请求到达目标Servlet之前对其进行预处理,检查并清理可能...
xss攻击类型与防止xss攻击解决方案
08-05
## 防止XSS攻击解决方案 1. **输入验证(Input Validation)** 对用户提交的数据进行严格的验证,限制特定字符,如JavaScript注释和特殊字符,并对数据进行编码或转义,以防止它们被当作HTML或JavaScript执行。 ...
HTML编码转义,可将HTML标签互相转义
Ray
09-02 588
org.springframework.web.util.HtmlUtils 可以实现HTML标签及转义字符之间的转换。 代码如下: [code="java"] /** HTML转义 **/ String s = HtmlUtils.htmlEscape("hello world&nbsp;"); System.out.println(s); String s2 = HtmlUti...
html注入跨站攻击脚本,跨站脚本攻击(XSS)
weixin_39888180的博客
06-23 1846
跨站脚本攻击(XSS)是一种客户端代码注入攻击。攻击者通过在合法的网页中注入恶意代码,达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时,攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。如果网页将用户的原始输入作为网页内容,那么它很容易受到 XSS 攻击,因为这类用户输入一定会被受害者的浏览器解析。...
挖洞经验 | 可以被XSS利用的HTML标签和一些手段技巧,靠挖SRC漏洞每月多赚15k
jennycisp的博客
10-26 802
*”。**网上关于XSS的教程数不胜数,转载来转载去的,就是那么些Payload,可能看的人晕晕的不知所以然。而且还有很多Payload就算把其中的HTML代码闭合后写在自己的前端中,都不一定触发,因为很多老的标签和事件都已经被W3C给废弃了。本文首先给大家总结一下目前通用可以拿来构造XSS的HTML标签和一些标签事件,然后再给大家讲述一些绕过的技巧,教你在么构造出属于你自己渗透时真正需要的Exp。
sql注入 xss攻击和csrf攻击的区别
最新发布
06-13
SQL注入、XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中插入恶意SQL代码,欺骗应用程序执行非授权的数据库查询,可能获取敏感信息或修改数据。 - **目标**:主要影响Web应用程序后端数据库,试图访问或操控存储在服务器的数据。 - **示例**:尝试在登录表单中输入"\' OR '1'='1",可能导致所有用户登录。 2. XSS攻击: - **定义**:攻击者在网站上植入恶意脚本,当用户访问含有这些脚本的页面时,脚本会在用户的浏览器上执行,可能窃取用户信息或控制用户的会话。 - **目标**:影响用户浏览器,操纵前端显示内容,或利用用户的行为进行攻击。 - **示例**:在网页中添加未过滤的用户评论,评论中包含HTML代码,如`<img src="malicious.com">`,可能导致恶意图片加载或跟踪。 3. CSRF攻击: - **定义**:攻击者通过伪装成合法用户,利用受害者已经登录的身份,发送请求到受信任的网站执行未经授权的操作,如转账、修改设置等。 - **目标**:利用用户的已认证状态,进行无需用户干预的恶意操作。 - **示例**:网站提供一个“一键购买”功能,如果一个恶意网站包含一个隐藏的表单,填充了受害者账户信息并指向该功能,用户无意点击后可能会完成购买。 相关问题: 1. 如何防止SQL注入攻击? 2. XSS攻击通常如何防御? 3. CSRF攻击如何通过令牌机制来防范?
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值