2020-12-30

最新推荐文章于 2024-04-26 08:36:25 发布
最新推荐文章于 2024-04-26 08:36:25 发布
阅读量64 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36514378/article/details/111993435
版权

web 安全

跨站脚本攻击XSS
简介

Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

原理在这里插入图片描述
危害
  • 获取页面数据
  • 获取cookie
  • 改变页面逻辑
  • 发送请求
  • 获取用户数据 获取用户登录态
分类
类型位置危害
存储型URL
反射型后端数据库
反射型

http://xxx/search?keyword=

使用短网址伪装

存储型

textarea 直接输入脚本

XSS攻击注入点
  • HTML节点内容
  • HTML属性
  • js代码
  • 富文本
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
防御

浏览器自动拦截 X-XSS-Protection
X-XSS-Protection
顾名思义,这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到这个,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。它有几种配置:

0:禁用XSS保护;
1:启用XSS保护;
1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);
浏览器提供的XSS保护机制并不完美,但是开启后仍然可以提升攻击难度,总之没有特别的理由,不要关闭它。

PHP设置

header(“X-XSS-Protection: 1”);

function htmlEscape(text) {
    return text.replace(/[<>"&]/g, function(match, pos, originalText) {
      switch (match) {
        case "<":
          return "&lt;";
        case ">":
          return "&gt;";
        case "&":
          return "&amp;";
        case "\"":
          return "&quot;";
      }
    });
  }

json.Stringify()
富文本
白名单 黑名单 cheerio xss
CSP 内容安全策略

跨站请求伪造攻击CSRF
前端cookies安全性
点击劫持
传输安全
SQL注入攻击
舒畅娜拉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
响应头缺省xss防御头(X-XSS-Protection、X-Content-Type-Options)
墨痕诉清风的博客
06-28 351
Web对于 HTTP 请求的响应头缺少 X-Content-Type-Options,这意味着此网站更易遭受跨站脚本攻击(XSS)。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。
检测到目标X-XSS-Protection响应头缺失
lxyoucan的博客
07-15 4208
HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。X-XSS-Protection响应头的缺失使得目标URL更易遭受跨站脚本攻击。
Web低危漏洞之缺少“X-XSS-Protection“头的处理方法
热门推荐
weixin_42715225的博客
09-12 1万+
前言 xss攻击会导致网站的低危漏洞,需要进行防护 漏洞呈现 解决 方法一: PHP配置设置 在Header.php文件中添加如下内容: ··· … … header( “X-XSS-Protection: 1” ); … … ··· 方法二: nginx配置设置 ... ... server { ... ... add_header X-XSS-Protection 1; ... ... 结语 … … ...
网站扫描出的漏洞解决:检测到目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应头缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 5343
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 头信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
银弹谷零代码开发平台 - 安全扫描报缺少“X-XSS-Protection”头等系列问题
li291079091的博客
06-11 1505
银弹谷零代码开发平台 - 安全扫描报缺少“X-XSS-Protection”头等系列问题描述
人民日报微博数据(2019-12-31至2020-12-31)13577条
01-30
微博id 微博正文 原始图片url 发布位置 发布时间 发布工具 点赞数 转发数 评论数
UCF-LKM-DATA-PT-12-2020-UC
02-21
下午12:30-下午1:00 假期日程安排 假期 日期 天 寒假 202012月24日 周四 202012月26日 周六 202012月29日 周二 202012月31日 周四 2021年1月2日 周六 纪念日 2021年5月29日 周六 回购准则 您对该存储库具有...
Draft 2020-04-30 12:24:24-数据集
03-26
标题 "Draft 2020-04-30 12:24:24-数据集" 暗示我们正在处理一个与数据相关的项目,可能是一个研究草案或分析报告,创建于2020年4月30日。这个数据集包含了多个CSV文件,这些文件可能是用于训练和测试机器学习模型的...
2020-12-08-刘永鑫1
08-03
报告人简介:刘永鑫,宏基因组公众号创始人,中科院青促会会员。目前发表论文30余篇,被引2000余次,主持国自然和中科院项目,在编专著《微生物组数据分析》、《微生
美国新冠疫情数据2020-1至2021-12-01(天-周-月)
04-15
时间跨度 2020-1至2021-12- 01(天/周/月) 时间频率 年度 区域跨度 美国 大洲 国家名称 dateti me 累计确诊数量 累计治愈数量 累计死亡数量 北美洲 美国 2021/12/ 31 54148314 41455786 824030 北美洲 美国 2021 ...
安全修复之Web——HTTP X-XSS-Protection缺失
最新发布
更多内容查看博客描述。
04-26 515
安全修复之Web——HTTP X-XSS-Protection缺失。
web安全测试之appscan – “X-XSS-Protection”头缺失或不安全 - 猿码设计师
Programming
06-06 3589
web安全测试之appscan – “X-XSS-Protection”头缺失或不安全 - 猿码设计师https://www.yuanmadesign.com/ymdesign/appscan-web-test3Appscan是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在web安全测试中,今天我们说下扫描结果中包含X-XSS-Protection请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感
“Content-Security-Policy”头缺失或不安全
(ง •_•)ง
11-23 1万+
中间件为IIS,网站根目录下找到“web.cofig”文件,没有则新建该文件。复制以下代码,粘贴到web.cofig文件中(新建全部复制,已有复制system.webserver) <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpProtoc...
检测到目标X-XSS-Protection响应头缺失【低危】
战神/calmness的博客
08-31 5825
目录 简介 过程 建议 简介 HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。 过程 打开网页抓包流量查看流量包信息 建议 增加X-XSS-Protection配置情况进行漏洞验证 ...
IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应头
shuxiansheng1的博客
07-19 2073
一问题:IBM AppScan 安全扫描提示: 二问题解决: 1. X-XSS-Protection目的 这个header主要是用来防止浏览器中的反射性xss。现在,只有IE,chrome和safari(webkit)支持这个header。 正确的设置 0 – 关闭对浏览器的xss防护 1 – 开启xss防护 1; mode=block – 开启xss防护并通知浏览器阻止而不是过滤用户注入的脚本。 1; report=http://site.com/report – 这个只有...
漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头问题
hsc的博客
07-22 6809
缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头解决方法 用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头解决方式 解决方法 将下面内容添加到nginx.conf 文件http 结构下 # security headers add_header X-Frame-Options
测试(绿盟)
hello.reader
08-16 2587
测试(绿盟) 绿盟科技漏洞报告,IIS 修复 web.config 配置 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <security> <requestFiltering> <requestLimits> &lt
将2018-01-01 08:00:00到2020-12-30 00:00:00,时间连续每小时取1个值,输出为excel
09-13
首先,需要使用pandas中的date_range()函数生成时间索引,确定时间范围从2018-01-01 08:00:00到2020-12-30 00:00:00,每小时取一个值。 其次,使用pandas中的DataFrame()函数创建一个新的DataFrame并将时间索引设置为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值