XSS 跨站脚本攻击预防(文件上传)

已于 2024-06-12 13:53:38 修改
阅读量355 收藏 1
点赞数 1
分类专栏: Java基础问题 文章标签: java XSS跨站脚本攻击 springboot
于 2024-06-03 18:03:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36763419/article/details/139421281
版权

XSS 跨站脚本攻击预防(文件上传)

注意:可以根据需求自定义,改造为拦截器、或者 AOP 等方式实现

package com.atguigu.springcloud.test.test;

import cn.hutool.core.io.IoUtil;
import cn.hutool.core.lang.UUID;
import cn.hutool.extra.spring.SpringUtil;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.boot.autoconfigure.web.servlet.MultipartProperties;
import org.springframework.web.multipart.MultipartFile;

import java.io.BufferedReader;
import java.io.InputStream;
import java.nio.charset.StandardCharsets;
import java.util.HashMap;
import java.util.Map;
import java.util.regex.Pattern;


public class FileUploadUtils {

    private static final Logger log = LoggerFactory.getLogger(FileUploadUtils.class);


    private static final MultipartProperties multipartProperties = SpringUtil.getBean(MultipartProperties.class);


    // 文件类型常量
    public static final String JPEG = "jpeg";
    public static final String JPG = "jpg";
    public static final String PNG = "png";
    public static final String GIF = "gif";
    public static final String PDF = "pdf";
    public static final String ZIP = "zip";
    public static final String RAR = "rar";
    public static final String DOC = "doc";
    public static final String DOCX = "docx";
    public static final String XLS = "xls";
    public static final String XLSX = "xlsx";
    public static final String PPT = "ppt";
    public static final String PPTX = "pptx";

    // 魔数常量
    public static final String JPEG_MAGIC = "FFD8FF";
    public static final String JPG_MAGIC = "FFD8FF";
    public static final String PNG_MAGIC = "89504E47";
    public static final String GIF_MAGIC = "47494638";
    public static final String PDF_MAGIC = "25504446";
    public static final String ZIP_MAGIC = "504B0304";
    public static final String RAR_MAGIC = "52617221";
    public static final String DOC_MAGIC = "D0CF11E0";
    public static final String DOCX_MAGIC = "504B0304";
    public static final String XLS_MAGIC = "D0CF11E0";
    public static final String XLSX_MAGIC = "504B0304";
    public static final String PPT_MAGIC = "D0CF11E0";
    public static final String PPTX_MAGIC = "504B0304";

    // 允许的文件类型
    // key-value : 文件类型-文件魔数
    private static final Map<String, String> FILE_TYPE_MAGIC_NUMBERS = new HashMap<>();

    static {
        FILE_TYPE_MAGIC_NUMBERS.put(JPEG, JPEG_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(JPG, JPG_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(PNG, PNG_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(GIF, GIF_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(PDF, PDF_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(ZIP, ZIP_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(RAR, RAR_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(DOC, DOC_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(DOCX, DOCX_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(XLS, XLS_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(XLSX, XLSX_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(PPT, PPT_MAGIC);
        FILE_TYPE_MAGIC_NUMBERS.put(PPTX, PPTX_MAGIC);
    }

    // 定义更加全面的XSS攻击模式
    private static final Pattern[] XSS_PATTERNS = new Pattern[]{
            // 匹配script标签
            Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE),
            Pattern.compile("<script(.*?)>(.*?)</script>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("</script>", Pattern.CASE_INSENSITIVE),
            Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配img、iframe、embed、object标签中的恶意代码
            Pattern.compile("<img(.*?)src[\r\n]*=[\r\n]*\\'(.*?)\\'(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("<img(.*?)src[\r\n]*=[\r\n]*\\\"(.*?)\\\"(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("<iframe(.*?)src[\r\n]*=[\r\n]*\\'(.*?)\\'(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("<iframe(.*?)src[\r\n]*=[\r\n]*\\\"(.*?)\\\"(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("<embed(.*?)src[\r\n]*=[\r\n]*\\'(.*?)\\'(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("<embed(.*?)src[\r\n]*=[\r\n]*\\\"(.*?)\\\"(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("<object(.*?)data[\r\n]*=[\r\n]*\\'(.*?)\\'(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("<object(.*?)data[\r\n]*=[\r\n]*\\\"(.*?)\\\"(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配JavaScript事件处理程序
            Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onerror(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onmouseover(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onclick(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onfocus(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onblur(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onchange(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onsubmit(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onreset(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onselect(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onunload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onkeydown(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onkeyup(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("onkeypress(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配其他危险的JavaScript代码
            Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE),
            Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE),
            Pattern.compile("data:text/html", Pattern.CASE_INSENSITIVE),
            Pattern.compile("document.cookie", Pattern.CASE_INSENSITIVE),
            Pattern.compile("document.write", Pattern.CASE_INSENSITIVE),
            Pattern.compile("window.location", Pattern.CASE_INSENSITIVE),
            Pattern.compile("window.open", Pattern.CASE_INSENSITIVE),
            Pattern.compile("innerHTML", Pattern.CASE_INSENSITIVE),
            Pattern.compile("alert\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("prompt\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("confirm\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配各种形式的javascript关键字
            Pattern.compile("/javascript", Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("/JavaScript", Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("/jscript", Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("/vbscript", Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("/ecmascript", Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配 CSS 表达式
            Pattern.compile("style=(.*?)/\\*<style>\\*/", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("style=(.*?)expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("style=(.*?)behaviour\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("style=(.*?)javascript:(.*?)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配 HTML 属性中的 JavaScript
            Pattern.compile("href[\r\n]*=[\r\n]*\\\"(javascript:(.*?))\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("href[\r\n]*=[\r\n]*\\'(javascript:(.*?))\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("src[\r\n]*=[\r\n]*\\\"(javascript:(.*?))\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("src[\r\n]*=[\r\n]*\\'(javascript:(.*?))\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配形式如 <a οnlοad=evil() /> 的 XSS
            Pattern.compile("<(.*?)on(load|error|mouseover|click|focus|blur|change|submit|reset|select|unload|keydown|keyup|keypress)=(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配 base64 数据 URI
            Pattern.compile("data:text/html;base64,", Pattern.CASE_INSENSITIVE),

            // 匹配可能的路径级 XSS
            Pattern.compile("/[a-zA-Z0-9\\-_]*[jJ][aA][vV][aA][sS][cC][rR][iI][pP][tT]/"),
            Pattern.compile("/[a-zA-Z0-9\\-_]*[vV][bB][sS][cC][rR][iI][pP][tT]/"),
            Pattern.compile("/[a-zA-Z0-9\\-_]*[eE][cC][mM][aA][sS][cC][rR][iI][pP][tT]/"),

            // 匹配 XSS 关键字在任何位置的情况
            Pattern.compile("[aA][lL][eE][rR][tT]\\("),
            Pattern.compile("[pP][rR][oO][mM][pP][tT]\\("),
            Pattern.compile("[cC][oO][nN][fF][iI][rR][mM]\\("),
            Pattern.compile("[eE][vV][aA][lL]\\("),
            Pattern.compile("[eE][xX][pP][rR][eE][sS][sS][iI][oO][nN]\\("),

            // 匹配 HTML 的属性值内嵌的 Javascript
            Pattern.compile("value[\r\n]*=[\r\n]*\\\"(.*?)\\\"[\r\n]*onchange[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("value[\r\n]*=[\r\n]*\\'(.*?)\\'[\r\n]*onchange[\r\n]*=[\r\n]*\\'(.*?)\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配十六进制编码的script
            Pattern.compile("&#x[0-9a-fA-F]+;"),

            // 匹配HTML实体编码的script
            Pattern.compile("&lt;script&gt;(.*?)&lt;/script&gt;", Pattern.CASE_INSENSITIVE),
            Pattern.compile("&lt;script(.*?)&gt;(.*?)&lt;/script&gt;", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 其他可能的编码方式
            Pattern.compile("src[\r\n]*=[\r\n]*\\\\x22(.*?)\\\\x22", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("src[\r\n]*=[\r\n]*\\\\x27(.*?)\\\\x27", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

            // 匹配 SVG 相关的注入
            Pattern.compile("<svg(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("<animate(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),
            Pattern.compile("<set(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL)
    };


    /**
     * 获取随机uuid文件名
     *
     * @param originalFileName 原始文件名
     * @param isSimple         是否是简单随机uuid,原生uuid带 "-" 符号
     * @return fileName
     */
    public static String getUuidFileName(String originalFileName, Boolean isSimple) {
        String fileExtension = getFileExtension(originalFileName);
        UUID uuid = UUID.randomUUID(true);
        return uuid.toString(isSimple) + "." + fileExtension;
    }


    /**
     * @param file             被校验文件
     * @param allowFileMaxSize 允许的文件大小,单位为字节
     * @param fileTypes        支持的文件类型
     * @return bool
     */
    public static void isValidFile(MultipartFile file, Long allowFileMaxSize, String... fileTypes) {

        // 检查文件大小
        if (!isValidFileSize(file, allowFileMaxSize)) {
            throw new RuntimeException("上传文件大小超过限制: " + allowFileMaxSize);
        }

        // 检查文件类型
        String originalFilename = file.getOriginalFilename();
        String fileExt = getFileExtension(originalFilename);
        if (!isValidFileType(fileExt, fileTypes)) {
            log.error("暂不支持文件类型: {}", fileExt);
            throw new RuntimeException("暂不支持文件类型: " + fileExt);
        }

        try (InputStream inputStream = file.getInputStream()) {
            // 魔数校验
            if (!isValidFileMagic(inputStream, fileTypes)) {
                throw new RuntimeException("文件内容和文件类型不匹配");
            }

            // Xss校验
            if (containsXSS(inputStream)) {
                throw new RuntimeException("文件包含非法字符");
            }
            log.info("上传文件校验成功");
        } catch (Exception e) {
            log.error("上传文件失败: {}", e.getMessage());
            throw new RuntimeException(e);
        }

    }


    /**
     * @param fileSuffix 文件后缀
     * @param fileTypes  支持的文件类型
     * @return
     */
    private static boolean isValidFileType(String fileSuffix, String[] fileTypes) {
        boolean flag = false;
        if (fileTypes == null || fileTypes.length == 0) {
            flag = FILE_TYPE_MAGIC_NUMBERS.containsKey(fileSuffix.toLowerCase());
        } else {
            for (String fileType : fileTypes) {
                if (fileSuffix.equals(fileType)) {
                    flag = true;
                }
            }
        }
        return flag;
    }

    /**
     * 校验文件大小
     *
     * @param file             文件
     * @param allowFileMaxSize 允许的文件大小
     * @return
     */
    private static boolean isValidFileSize(MultipartFile file, Long allowFileMaxSize) {
        if (allowFileMaxSize == null) {
            allowFileMaxSize = multipartProperties.getMaxFileSize().toBytes();
        }
        log.info("上传文件大小为: {}", file.getSize());
        return file.getSize() <= allowFileMaxSize;
    }

    /**
     * 文件魔数校验
     *
     * @param fis       文件
     * @param fileTypes
     * @return
     */
    private static boolean isValidFileMagic(InputStream fis, String[] fileTypes) throws Exception {

        byte[] bytes = new byte[4];
        fis.read(bytes, 0, bytes.length);
        StringBuilder sb = new StringBuilder();
        for (byte b : bytes) {
            sb.append(String.format("%02X", b));
        }
        String magicNumber = sb.toString();
        log.info("上传文件的魔数为: {}", magicNumber);
        if (fileTypes == null || fileTypes.length == 0) {
            for (String magic : FILE_TYPE_MAGIC_NUMBERS.values()) {
                if (magicNumber.startsWith(magic)) {
                    return true;
                }
            }
        } else {
            for (String fileType : fileTypes) {
                String magic = FILE_TYPE_MAGIC_NUMBERS.get(fileType);
                if (magicNumber.startsWith(magic)) {
                    return true;
                }
            }
        }
        return false;
    }

    /**
     * 返回文件后缀
     *
     * @param originalFilename 文件名
     * @return
     */
    private static String getFileExtension(String originalFilename) {
        String suffix = "";
        if (originalFilename != null) {
            int lastIndex = originalFilename.lastIndexOf('.');
            if (lastIndex > 0) {
                suffix = originalFilename.substring(lastIndex + 1);
            }
        }
        log.info("上传的文件后缀为: {}", suffix);
        return suffix;
    }


    public static boolean containsXSS(InputStream fis) {
        try (BufferedReader reader = IoUtil.getReader(fis, StandardCharsets.UTF_8)) {
            String currentLine = "";
            while ((currentLine = reader.readLine()) != null) {
                for (Pattern pattern : XSS_PATTERNS) {
                    if (pattern.matcher(currentLine).find()) {
                        return true;
                    }
                }
            }

        } catch (Exception e) {
            log.error("上传文件-流读取操作异常: {}", e.getMessage());
            return false;
        }
        return false;
    }
}
陌守
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
杨秀璋的专栏
10-12 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,并构建了Web目录扫描器;本文将详细讲解XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解,最后分享了如何预防XSS攻击。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。
【项目实战】Web端常见的高风险漏洞与解决方法(XSS跨站脚本攻击
本本本添哥
03-31 395
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞
XSS姿势——文件上传XSS
weixin_30399797的博客
04-20 685
XSS姿势——文件上传XSS 原文链接:http://brutelogic.com.br/blog/ 0x01 简单介绍 一个文件上传点是执行XSS应用程序的绝佳机会。很多网站都有用户权限上传个人资料图片的上传点,你有很多机会找到相关漏洞。如果碰巧是一个self XSS,你可以看看这篇文章。 0x02 实例分析 首先基本上我们都可以找到类似下面的一个攻击入口点,我觉得这个并...
文件上传 代码命令执行 xss
代码审计
03-21 808
复习 1.文件上传 a) 前端js校验 先上传一个白名单内的文件 通过burpsuite改包 b) MIME类型校验 包中的content-type类型 c) 黑名单绕过 1. 大小写绕过 2. 其他后缀 .php3 .php4 .phtml 3.windows 特性 空格 点 4.::$DATA 数据流 5..htaccess 控制当前目录下的解析 6.%00截断 5.3.4 < 7.解析漏洞: a) apache 解析漏洞 从右往左解析 b) iis 解析漏洞
在 ASP.NET Core MVC 中防止 XSS 攻击
最新发布
技术探索驿站
06-30 521
跨站点脚本 (XSS) 攻击是一种严重的安全威胁,恶意脚本会注入其他用户查看的网页中。本文演示了如何在 ASP.NET Core MVC 中构建一个简单的博客应用程序,同时使用内置安全功能和最佳实践来防止 XSS 攻击。
通过文件上传XSS
黑剑
09-19 847
我们可以在标准配置的 Jetty 服务器上实现 XSS,不仅可以上传众所周知的 .html 或 .svg 文件,还可以上传其他扩展名不太流行的文件。
WEB漏洞之 - XSS漏洞 (跨站脚本工具)
diaoqin7781的博客
05-08 848
什么是XSSXSS 又叫CSS(Cross site Scripting)跨站脚本工具,常见的WEB漏洞之一,再2013年度OWASP TOP 10 中排名第三 XSS 是指攻击者再网页中嵌入客户端脚本,通常是JS恶意代码,当用户使用浏览器访问被嵌入恶意代码网页时,就会再用户浏览 器上执行。 XSS有什么危害网络钓鱼,窃取用户Cookise,弹广告刷流量,具备改页面信息,删除文章,...
·xss文件上传漏洞
2302_80280669的博客
03-12 1049
补充知识:php 在 window 的时候如果文件名+"::$DATA"会把::$DATA 之后的数据当成文件流处理, 不会检测后缀名,且保持"::$DATA"之前的文件名 他的目的就是不检查后缀名。补充知识:php 在 window 的时候如果文件名+"::$DATA"会把::$DATA 之后的数据当成文件流处理, 不会检测后缀名,且保持"::$DATA"之前的文件名名可以改成 1.php::$DAT。//删除文件名末尾的点 在没有这类型函数的情况下,我们可以在文件名后加.绕过黑名单。
web安全、XSS、CSRF、注入攻击、文件上传漏洞
weixin_33885676的博客
08-15 1466
为什么80%的码农都做不了架构师?>>> ...
如何防止跨站脚本攻击XSS)和跨站请求伪造(CSRF)等安全漏洞?
m0_47946173的博客
01-19 1116
防止跨站脚本攻击XSS)和跨站请求伪造(CSRF)等安全漏洞需要采取一系列措施,以下是一些建议:
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
spring cloud gateway 过滤器防止跨站脚本攻击(存储XSS、反射XSS
qq_26801767的博客
05-20 8329
spring cloud gateway 过滤器防止跨站脚本攻击背景接下来直接上代码CacheBodyGlobalFilterXssRequestGlobalFilterXssResponseGlobalFilter.javaXssCleanRuleUtils.java 背景 <spring-boot.version>2.1.4.RELEASE</spring-boot.version> <spring-cloud.version>Greenwich.RELEASE&lt
【PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
起而行动,方能平定心中的惶恐
04-07 5129
Java项目-上传文件-解决PDF文件XSS攻击
DVWA靶机-XSS与CSRF、文件上传的攻击原理、分类、对比以及漏洞演示(low、Medium、Hign、Impossible)
天下著书立传者,皆为我师
03-16 1915
DVWA靶机--讲解XSS与CSRF、文件上传的攻击原理、分类、对比以及漏洞演示(low、Medium、Hign、Impossible)
了解C# 中的集合(包括泛型和非泛型)
技术探索驿站
06-30 449
跨站点脚本 (XSS) 攻击是一种严重的安全威胁,恶意脚本会注入其他用户查看的网页中。本文演示了如何在 ASP.NET Core MVC 中构建一个简单的博客应用程序,同时使用内置安全功能和最佳实践来防止 XSS 攻击。
文件上传中防止Xss注入
fxtxz2的专栏
12-24 4428
上传文件流防XSS
Web安全:XSS || 文件上传 靶场搭建 (玩转整个 XSS || 文件上传 环境.)
网络安全领域___专研者.
04-24 964
XSS又叫CSS(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面,插入恶意JS代码,当用户浏览该页之时,嵌入其中JS代码就会被执行,从而达到攻击的目的.(包含:收集用户的Cookie,添加账号,修改密码,提高用户权限等等.) 文件上传漏洞是指 Web 服务器允许用户将文件上传至其文件系统,但这些文件可能并没有经过充分的验证,如文件名称、类型、内容或大小等。未能正确执行这些限制就意味着即使最基本的图像上传功能也可能用于上传任意具有潜在危险的文件,里面甚至包括远程代码执行的服务器端脚
XSS,文件上传,文件包含】
一纸荒芜的博客
07-31 2721
网络安全面试题
SpringBoot过滤XSS脚本攻击
椰汁菠萝
01-18 7214
前排提示 源码在最后 XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码...
mica-xss预防文件导入XSS
05-19
Mica-xss 是一个基于 JavaXSS 防护工具,它可以预防文件导入 XSS 攻击。具体来说,它可以对上传的文件进行检查,防止其中包含恶意脚本,从而保护应用程序的安全。 Mica-xss 的使用非常简单,只需要在 web.xml ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陌守

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值