防止xxs攻击

已于 2022-08-09 11:39:16 修改
阅读量6k 收藏 8
点赞数 2
分类专栏: 微服务安全架构 文章标签: xxs 防止xxs攻击
于 2019-08-23 14:14:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36881887/article/details/100036481
版权

xxs攻击描述

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。

攻击的条件

XSS攻击需要具备两个条件:

  一、需要向web页面注入恶意代码;

  二、这些恶意代码能够被浏览器成功的执行。

场景一:
        1. 用户通过表单提交方式提交,"<script>alert('xxs攻击')</script>"保存到数据库title字段中。
        2. 商品展示页面需要获取该title字段,展示给用户。

后台获取数据跳转前台页面:

@RequestMapping("toIndex")
	public String toIndexHtml(Model model){
		//                            模拟从数据库取出的假数据
		model.addAttribute("title", "<script>alert('xxs攻击')</script>");
		return "index";
	}

html页面 :

<body>
    商品标题:<p>${title!}</p>
</body>

浏览器:

解决

很简单,在网关层次拦截所有请求参数,对参数中包含的特殊符号进行转义;

如:<script>alert('xxs攻击')</script>

转义为:&lt;script&gt;alert('xxs攻击')&lt;/script&gt;

转义完成后再保存到数据库,这样用户再在浏览器获取该参数进行展示就可以方式xxs。

java:

	@RequestMapping("toIndex")
	public String toIndexHtml(Model model){
		// xxs攻击
		model.addAttribute("title", "<script>alert('xxs攻击')</script>");
		
		// 转义<和>符号防止xxs攻击
		model.addAttribute("content", "&lt;script&gt;alert('xxs攻击')&lt;/script&gt;");
		return "index";
	}

html:

<body>
    商品标题:<p>${title!}</p>
  <br>
    商品内容:<p>${content!}</p>
</body>

浏览器:

content字段做了特殊符号转换所以会正常展示用户保存的数据,从而防止xxs。

 

🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈 🌈


🍎原创不易,感觉对自己有用的话就❤️点赞👉收藏💬评论把。 

祁_z
关注
专栏目录
xxs和csrf的防御
zyq51的博客
09-11 733
一、关于xxs和csrf的防御 1.防御XSS攻击 HttpOnly 防止劫取 Cookie 用户的输入检查 服务端的输出检查 2.防御CSRF攻击 验证码 Referer Check Token 验证 二、详解 XSS 1 HttpOnly 防止劫取 Cookie HttpOnly 最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript 访问带有 HttpOnly 属性的Cookie。 上文有说到,攻击者可以通过注入恶意脚本获取用户的 Cookie 信息。通常 Cookie 中都包含
6、springboot-防止xxs攻击
aunt_y的博客
05-25 3544
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止xss攻击部分 定义: ​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 原理: ​ HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容
XSS攻击详解
xllllll___的博客
02-17 1778
1.盗用cookie,获取用户的敏感信息;2.利用iframe,frame等方式,以用户的身份执行一些管理动作,或者执行一些一般的行为比如说发私信,加好友等;3.在一些访问量极大的页面上进行XSS攻击可以攻击一些小型网站;4.利用一些可被攻击的域或者其它的域信任的特点,以受信任来源的身份请求一些平时不被允许的操作。
五分钟带你了解XSS攻击
最新发布
ORANGE_3iING的博客
07-31 938
跨站脚本攻击(XSS) 是一种,它允许攻击者。此代码由用户执行,让攻击者并冒充用户。如果 Web 应用程序没有采用足够的,则这些攻击会成功。用户的浏览器无法检测到恶意脚本是不可信的,因此允许其访问任何 Cookie、会话令牌或其他特定于站点的敏感信息,或者让恶意脚本重写 HTML 内容。
XSS 防御方法总结
weixin_33932129的博客
08-03 2784
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
Web应用安全防护-XXS
壮乡码农
12-07 4837
一、什么是XSS? XSS: Cross Site Script ,跨站脚本攻击。恶意攻击者在页面中注入恶意Script代码,在用户浏览时,恶意代码会被执行,从而达到攻击的目的。 恶意者通常会通过Web应用提交的内容提交Script代码,导致浏览器将用户输入的内容当成了代码执行。 二、XSS 攻击类型 1)持久性XSS 将恶意代码保存在数据库中,谁加载到该数据谁则被攻击,常见博客、论坛中。而且是长期的威胁。 2)反射性XSS 2)DOM性XSS...
XSS 最全攻防之战!
frontend_frank的博客
08-15 769
背景为了提高页面性能,减少白屏时间,我的详情页面接收上游列表传过来的一个参数 cover,这是一张在上一个列表页面已经加载过了的图片链接,当跳转到我的页面时,首先将这张图片显示出来(浏览器...
vue 如何防止xss攻击 框架_前端防范xss攻击的实用方案
weixin_39848970的博客
12-22 5403
一、xss攻击原理大家想必都听过xss攻击,那么这个xss到底是如何攻击、我们又应该如何防范的呢?xss攻击主要是针对表单的input文本框发起的,比如有这样一个文本框:xss攻击图1在说明一栏填入一段js代码,如果前端不进行过滤直接提交到后端(比如php),而php端也没有进行过滤直接入库,那么在下一个展示页面,就会发生这样的情况:xss攻击图2为什么会酱紫呢?因为我们在说明这一栏的input,...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
ESAPI提供了一套完整的API,可以方便地对用户输入进行验证和清理,从而防止XSS攻击。例如,我们可以使用`ESAPI.encoder().encodeForHTML()`方法来转义HTML特殊字符,确保用户输入不会被浏览器解释为HTML代码。 要...
SpringCloud 使用Zuul防止xss攻击(新版本)
Alone5256的博客
04-15 2732
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击(新版本)导入zuul和lang3的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击(新版本) 导入zuul和lang3的jar包 <!--zuul--> <dependency> ...
tp5 防XSS攻击
Lorientasn的博客
07-23 776
tp5中防xss攻击有两种方式 1、htmlspecialchars,直接把js代码标签中的<>转义成html实体 2、remove_xss,直接过滤script标签 第一种:直接在config.php里直接配置全局的 'default_filter' => 'htmlspecialchars', 或者不配置全局,直接在接收数据时候过滤 $data['name'] = input('name','','htmlspecialchars'); .
最全的XSS漏洞攻防
qq_53530934的博客
12-17 1040
XSS漏洞攻防/pikachu靶场XSS破解
前端防止xxs攻击,一看就会!
yinyueyu007的博客
10-22 441
项目开发中遇到xxs攻击,通过前端方法进行处理。 通过前端方法在渲染数据之前进行转义。 htmlEncodeByRegExp: function (str) { var s = “”; if (str.length == 0) return “”; s = str.replace(/&/g, “&”); s = s.replace(/</g, “<”); s = s.replace(/>/g, “>”); s = s.replace(/ /g, "&nb..
如何实现全站防XSS攻击功能?
ah_hzy的博客
06-23 812
总结: 利用模板引擎开启模板引擎自带的 HTML 转义功能。例如: 在 ejs 中,尽量使用<%= data %>而不是<%- data %>; 在 doT.js 中,尽量使用{{! data }而不是{{= data }; 在 FreeMarker 中,确保引擎版本高于 2.3.24,并且选择正确的freemarker.core.OutputFormat...
xss的防护措施有哪些
dexunjiaqiang的博客
07-09 2291
XSS指利用网站漏洞从用户那里恶意盗取信息。
XSS攻击与防御
qq_41030039的博客
09-29 3879
XSS简介: XSS(Cross Site Script),跨站脚本攻击,为了和CSS区分,在安全领域称为XSS。 通常指黑客通过HTML注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。 XSS攻击类型: 1、反射型XSS 反射型 XSS 只是将用户输入的数据展现到浏览器上(从哪里来到哪里去),即需要一个发起人(用户)来触发黑客布下的一个陷阱(例如一个链接,一个按钮...
XSS攻击及防御(简单易懂)
liu_chenglong的博客
11-10 7038
翻译过来就是跨站脚本。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
XXS框架攻击和SQL注入
qq_49085383的博客
11-29 4311
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户端浏览器。 实验环境搭建。 角色
XSS攻击基础防御
lovelichao12的专栏
03-24 3445
XSS攻击听说过,没见过,后来通过查资料了解一点,这篇文章中,主要是针对XSS攻击做一个基本的防御,我也不知道能不能防的住,防不住在加规则,中国式解决问题:哪疼医那。哈哈由于公司用的是 SpringMVC,因此,这次就主要基于 SpringMVC 来解决这些漏洞。当然,其实这些解决方案都是大同小异,对于什么环境来说根本无所谓。了解了原理,什么环境、什么语言都可以运用自如了。废话就不多说了,直接上解...
wireshark分析xxs攻击
03-31
它可以帮助我们检测和分析各种网络攻击,包括跨站脚本攻击(XSS)。 跨站脚本攻击是一种常见的Web应用程序安全漏洞,攻击者通过在受害者的浏览器中注入恶意脚本来实现攻击目的。使用Wireshark来分析XSS攻击可以帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

祁_z

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值