xss漏洞修复思路

最新推荐文章于 2024-09-20 20:59:18 发布
最新推荐文章于 2024-09-20 20:59:18 发布
阅读量2.6k 收藏
点赞数
文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35794278/article/details/88239936
版权 
public static String htmlSecurityEscape(String str) {
        if (str == null) {
            return null;
        } else {
            StringBuilder sb = null;
            int len = str.length();

            try {
                for(int i = 0; i < len; ++i) {
                    char ch = str.charAt(i);
                    switch(ch) {
                    case '"':
                        if (sb == null) {
                            sb = new StringBuilder(str.length() << 1);
                            sb.append(str, 0, i);
                        }

                        sb.append("&quot;");
                        break;
                    case '&':
                        int in = str.indexOf(59, i + 1);
                        if (in != -1 && in - i < 9 && str.substring(i + 1, in).indexOf(38) == -1) {
                            if (sb != null) {
                                sb.append(ch);
                            }
                            break;
                        }

                        if (sb == null) {
                            sb = new StringBuilder(str.length() << 1);
                            sb.append(str, 0, i);
                        }

                        sb.append("&amp;");
                        break;
                    case '\'':
                        if (sb == null) {
                            sb = new StringBuilder(str.length() << 1);
                            sb.append(str, 0, i);
                        }

                        sb.append("&#39;");
                        break;
                    case '*':
                        if (i + 1 < str.length() && str.charAt(i + 1) == '/') {
                            if (sb == null) {
                                sb = new StringBuilder(str.length() << 1);
                                sb.append(str, 0, i);
                            }

                            sb.append("&#42;&#47;");
                            ++i;
                        } else if (sb != null) {
                            sb.append(ch);
                        }
                        break;
                    case '/':
                        if (i + 1 < str.length() && str.charAt(i + 1) == '*') {
                            if (sb == null) {
                                sb = new StringBuilder(str.length() << 1);
                                sb.append(str, 0, i);
                            }

                            sb.append("&#47;&#42;");
                            ++i;
                        } else if (sb != null) {
                            sb.append(ch);
                        }
                        break;
                    case '<':
                        if (sb == null) {
                            sb = new StringBuilder(str.length() << 1);
                            sb.append(str, 0, i);
                        }

                        sb.append("&lt;");
                        break;
                    case '>':
                        if (sb == null) {
                            sb = new StringBuilder(str.length() << 1);
                            sb.append(str, 0, i);
                        }

                        sb.append("&gt;");
                        break;
                    case '\\':
                        if (sb == null) {
                            sb = new StringBuilder(str.length() << 1);
                            sb.append(str, 0, i);
                        }

                        sb.append("\\&shy;");
                        break;
                    default:
                        if (Character.getDirectionality(ch) != 2 && Character.getDirectionality(ch) != 16 && Character.getDirectionality(ch) != 17) {
                            if (sb != null) {
                                sb.append(ch);
                            }
                        } else if (sb == null) {
                            sb = new StringBuilder(str.length() << 1);
                            sb.append(str, 0, i);
                        }
                    }
                }
            } catch (Exception var6) {
                var6.printStackTrace();
                System.err.println(str);
            }

            return null != sb ? sb.toString() : str;
        }
    }
你可拉倒吧
关注
专栏目录
XSS安全漏洞的几种修复方式
markbug的博客
03-26 2万+
什么是XSS跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,跨站脚本攻击指的是恶意攻击者往Web页面里插入恶意的html,javaScript代码,当用户浏览该页之时,嵌入其中Web里面的html,javaScript代码会被执行,从而达到恶意的特殊目的,如,盗取用户Cook
PHP代码审计基础:XSS漏洞
1匹黑马
11-28 767
文章目录xss攻击xss的危害挖掘思路反射型xss常见场景存储型xss存储型与反射型的区别DOM型xss什么是DOM型xssDOM型常见属性 xss攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内
XSS跨站脚本攻击漏洞修复方法
06-18
NULL 博文链接:https://gqsunrise.iteye.com/blog/2214704
XSS 安全漏洞介绍及修复方案
墨鸦的博客
06-25 8074
XSS 安全漏洞介绍及修复方案
深入解析jQuery-XSS漏洞:安全防护与技术应用
最新发布
gitblog_06578的博客
09-20 1272
深入解析jQuery-XSS漏洞:安全防护与技术应用 jQuery-XSS漏洞CVE-2020-11022CVE-2020-11023 项目地址: https://gitcode.com/Resource-Bundle-Coll...
xss漏洞修复建议/方法
小雨的博客
05-10 1万+
1. html encoding 跨站点脚本漏洞最有效的解决方案是对用户受影响输出进行 HTML encoding。 应用程序应该对:直接源自用户输入的值、可能受用户影响的值、受用户影响的数据存储库值(数据库、日志、文件等)或可能具有的任何其他信息的任何输出进行编码。 在将这些值包含在发送给用户的输出中之前,应通过数据清理组件(编码器)处理此信息,该组件替换其 HTML 表示中的非字母数字字符。此操作确保每个脚本都将呈现给用户,而不是在用户的浏览器中执行。 这些信息在传输中应该执行净化:替换掉
XSS安全漏洞修复解决方案
hold on the last
06-18 2万+
背景:等保测评公司针对我系统进行了一次渗透测试,并发现存在XSS漏洞,现记录修复过程。 框架:SSM。 全站XSS漏洞风险等级:中危 涉及页面:全站存在内容输入处 漏洞描述:所有模块可以修改内容处存在XSS,填入恶意代码后触发。 修复建议:过滤所有输入内容。(防止恶意弹窗/跨站脚本/过滤敏感字符/违法信息等) 解决方案 列举方案1:写个DispatcherServ...
手动挖掘xss漏洞
qq_57307348的博客
02-17 1785
得到
XSS漏洞原理及防护
暖风吹起云之博客
08-03 2393
介绍xss漏洞原理和基本防护思路
XSS漏洞学习笔记
qi_SJQ_的博客
12-31 2679
xss学习笔记
XSS漏洞介绍(笔记)
weixin_46062722的博客
12-21 488
什么是XSSXSS(Cross Site Scripting)跨站脚本,较合适的方式应该叫做跨站脚本攻击,诞生于1996年,人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS分类: 反射型(非持久型):攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发漏洞。 存储型(持久型):payload被存储到数据库内,每次只要访问就可以被触发
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 3181
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
XSS跨站脚本攻击漏洞修复技巧
2401_84208172的博客
05-18 1563
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复
网站XSS漏洞攻击如何修补
一言不合吃吃吃的博客
11-02 1090
因为兄弟我是在360下的一家电商网站上班,所以不可避免的就经常被360安全部门“照顾”了,公司邮箱里经常会收到漏洞攻击的邮件,很佩服那些能找到这些漏洞的人,但是佩服归佩服,漏洞总得给补上吧,下面我介绍常用的xss攻击漏洞该如何修补。明天写,今天先把题目起好……..
解决存储型Xss漏洞
热门推荐
abcjwg的专栏
04-15 3万+
近期做的一个项目进行渗透测试,检测代码存在存储型Xss漏洞。例如在界面文本域输入<h2>12345</h2>、<script>alter(12345)</script>这样的值,如果程序未进行处理,会存储至数据库。下次回显会出现异常界面或弹出异常框,如果进行恶意攻击,可能后果不堪设想。 网上搜集的大部分代码都是使用过滤器,并对请求数据进行过滤,重写...
存储型XSS攻击的解决方法
weixin_43901818的博客
08-21 1万+
为了避免存储型XSS攻击,建议采用以下方式进行防御 1.对从数据库或其它后端数据存储获取不可信赖的数据进行合理验证(如年龄只能是数字),对特殊字符(如`<、>、以及<script>、javascript等进行过滤)。 2.设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。在java EE中,给Cookie添加HttpOnly代码: response.setHeader(“Set-Cookie”,“cookiename=value; Path=/;Domai
XSS跨站漏洞
Agonie_25的博客
09-06 402
漏洞描述 攻击者可以通过构造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段,利用跨站脚本漏洞欺骗用户,收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码,可以让访问者访问非法网站或下载恶意木马,如果再结合其他攻击手段(如社会工程学、提权等),甚至可以获取系统的管理权限。 解决方法 对用户输入的数据进行全面安全检查或过滤,尤其注意检...
基于爬虫的xss漏洞检测工具设计与实现
10-11
基于爬虫的XSS漏洞检测工具设计与实现是指利用爬虫技术来自动...总之,基于爬虫的XSS漏洞检测工具通过自动化地爬取、解析、检测和验证目标网站上的页面,能够帮助网站管理员及时发现并修复XSS漏洞,提高网站的安全性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值