XSS跨站脚本攻击和预防措施

最新推荐文章于 2024-04-30 14:12:13 发布
最新推荐文章于 2024-04-30 14:12:13 发布
阅读量1.4k 收藏
点赞数
分类专栏: 脚本攻击和预防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37469055/article/details/106208480
版权

一:跨站脚本的攻击

  • XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。

这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。

二:跨站脚本攻击的原理

主要是黑客可以通过修改传输的参数进行站点攻击,或者黑客通过盗取用户的信息进行站点攻击

三:跨站脚本攻击的预防措施

对于大部分的跨站攻击我们可以在程序的角度上进行解决,最常用的方法就是写一个过滤器

  • 过滤配置类
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * filter配置类
 * 
 * @author : lizhangyu
 * @date : 2020-04-21
 */
@Configuration
public class FilterConfig {

    @Bean
    public FilterRegistrationBean registerXssFilter() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new XssFilter());
        registration.addUrlPatterns("/*");
        registration.setName("xssFilter");
        registration.setOrder(1);
        return registration;
    }

}
  • Xss过滤器类
import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;

/**
 * xss拦截器
 * 
 * @author : lizhangyu
 * @date : 2020-04-21
 */
@WebFilter(filterName = "XssFilter", urlPatterns = "/*")
public class XssFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        // 包装request
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        chain.doFilter(xssRequest, response);
    }

    @Override
    public void destroy() {
    }

}
  • 过滤器请求类
import com.lutongnet.cps.base.util.XssFilterUtil;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * @author : lizhangyu
 * @date : 2020-04-21
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String string = super.getParameter(name);
        // 返回值之前 先进行过滤
        return XssFilterUtil.stripXss(string);
    }

    @Override
    public String[] getParameterValues(String name) {
        // 返回值之前 先进行过滤
        String[] values = super
                .getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                values[i] = XssFilterUtil.stripXss(values[i]);
            }
        }
        return values;
    }

}
  • 过滤器工具类 (过滤的大多数条件)
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.commons.lang.StringUtils;

/**
 * Xss过滤工具类
 * @author lizhangyu
 * @version 1.0
 * @date 2020/4/30 10:16
 */
public class XssFilterUtil {

    private static List<Pattern> patterns = null;
private static List<Object[]> getXssPatternList() {
        List<Object[]> ret = new ArrayList<Object[]>();

        ret.add(new Object[] { "<(no)?script[^>]*>.*?</(no)?script>",
                Pattern.CASE_INSENSITIVE });
        ret.add(new Object[] { "eval\\((.*?)\\)",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] { "expression\\((.*?)\\)",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        ret.add(new Object[] { "(javascript:|vbscript:|view-source:)*",
                Pattern.CASE_INSENSITIVE });
        ret.add(new Object[] { "<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>",
                Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
		ret.add(new Object[] {
				"(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\()*",
				Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
		ret.add(new Object[] {"<+\\s*\\w*\\s*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|οnerrοr=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+", 
				 Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
        return ret;
    }
		
	private static List<Pattern> getPatterns() {

       if (patterns == null) {

            List<Pattern> list = new ArrayList<Pattern>();

            String regex = null;
            Integer flag = null;
            int arrLength = 0;

            for (Object[] arr : getXssPatternList()) {
                arrLength = arr.length;
                for (int i = 0; i < arrLength; i++) {
                    regex = (String) arr[0];
                    flag = (Integer) arr[1];
                    list.add(Pattern.compile(regex, flag));
                }
            }

            patterns = list;
        }
        
        return patterns;
    }
		
	public static String stripXss(String value) {

        if(StringUtils.isNotBlank(value)) {

            Matcher matcher = null;

            for(Pattern pattern : getPatterns()) {
                matcher = pattern.matcher(value);
                // 匹配
                if(matcher.find()) {
                    // 删除相关字符串
                    value = matcher.replaceAll("");
                }
            }

            value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        }
				
		return value;
    }

}
  • 通过过滤器可以过滤大部分的跨站脚本攻击。
脚踏实地,仰望星空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss脚本攻击-运维安全详细笔记
06-30
为了防御xss脚本攻击,Web开发者需要采取以下措施: * 对用户提交的代码进行转义处理和过滤 * 使用输出编码 * 使用Content Security Policy(CSP)来限制网脚本执行 * 对网的输入进行验证和过滤 * 使用...
XSS脚本攻击及防护
weixin_62707591的博客
06-18 3027
XSS又叫CSS),即脚本攻击,是最常见的 Web 应用程序安全漏洞之一。在绝大多数网络攻击中都是把XSS作为漏洞链中的第一环,通过XSS,黑客可以得到的最直接利益就是拿到用户浏览器的 cookie,从而变相盗取用户的账号密码,进而非授权的获取关键的隐私信息。XSS攻击是一种客户端访问嵌入有恶意脚本代码的Web页面,从而盗取信息、利用身份等的一种攻击行为。XSS属于客户端攻击受害者最终是用户。XSS的传播性极强,由于 web 的特点是轻量级灵活性高。
前端安全(3):预防脚本(Cross-Site Scripting,XSS
imagine_tion的博客
12-10 2432
一、如何预防XSS XSS 攻击有两⼤要素: 攻击者提交恶意代码。 浏览器执⾏恶意代码。 针对第⼀个要素:我们是否能够在⽤户输⼊的过程,过滤掉⽤户输⼊的恶意代码呢? 输入过滤 在⽤户提交时,由前端过滤输⼊,然后提交到后端。这样做是否可⾏呢? 答案是不可⾏。⼀旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。 那么,换⼀个过滤时机:后端在写⼊数据库前,对输⼊进⾏过滤,然后把“安全的”内容,返回给前端。这样是否可行呢?我们举⼀个例子,⼀个正常的⽤户输⼊了 5 < 7 这个内容,在写入数
最全--脚本攻击XSS)举例和预防方法
最新发布
Keep trying, keep going
04-30 1201
脚本攻击XSS)是指攻击者通过,从而窃取用户信息、篡改网页内容等。。
【web安全】XSS攻击脚本攻击)如何防范与实现
AA2534193348的博客
05-31 5027
XSS攻击脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。
脚本攻击原理、攻击过程及防御方法简介
seek_2022的博客
05-03 8572
文章目录一、XSS简介(一)什么是XSS?(二)XSS的危害(三)XSS的分类(四)XSS的特性(五)XSS攻击过程二、如何防御XSS攻击?三、本文小结 一、XSS简介 (一)什么是XSS? Cross-Site Scripting,简称为XSS脚本脚本攻击,是一种针对网应用程序的安全漏洞攻击技术,是代码注入的一种。通常安全圈内的人喜欢称其为前端注入。 前端注入:用户输入的数据被当做前端代码执行(一般是当做JS代码执行)。 前端的三种代码中,出现XSS漏洞时,90%的情况下,注入的代码是被当
xss介绍
songxiaomianbao的博客
08-24 801
详情介绍: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容...
脚本攻击(XSS)及防范措施
oscar999的专栏
04-22 3987
á 有两种表示方式: U+00C1 U+0041 U+0301 Unicode标准定义了四种范化形式: D: NFD 典型分解 KD: NFKD 规范分解,规范组成 C: NFC 兼容性分解 KC: NFKC 兼容性分解,规范组成 NF - normalization-type NO_DECOMPOSITION: 不分解, 不对字符串做任何范化 matplotlib ...
怎么防止脚本攻击XSS)?
Learn-anything.cn
11-24 3337
一、XSS 是什么? 脚本攻击(Cross-site scripting,XSS)是攻击者向网注入恶意脚本,等待用户访问网并自动运行恶意脚本发起攻击的过程。不同的脚本可以实现不同目的: 盗用cookie,获取敏感信息。 利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 8868
脚本攻击漏洞-基础篇
XSS脚本攻击原理与实践1
08-03
本次实验旨在深入理解XSS脚本攻击的原理,包括反射型、存储型和基于DOM的XSS,并掌握如何预防和检测这些攻击。通过对不同类型的XSS进行实践,学生应能了解其危害,学习如何避免在Web应用程序中引入此类漏洞。 ...
18.XSS脚本攻击原理及代码攻防演示(一)1
08-03
XSS(Cross-Site Scripting)脚本攻击是一种常见的网络安全问题,它发生在攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而盗取用户数据或者控制用户浏览器的行为。XSS攻击主要分为...
解决XSS脚本攻击
01-22
XSS脚本攻击是Web应用安全领域的一大威胁,主要表现为攻击者通过注入可执行的HTML代码,利用用户的身份执行恶意操作。这种攻击的根源在于网对用户输入的处理不当,没有进行充分的过滤和转义,使得攻击者的...
8、XSS 攻击的防御pdf资料
10-15
XSS脚本攻击)是网络安全领域中一种常见的攻击方式,主要利用JavaScript来实施恶意行为。这种攻击之所以称为XSS,是因为原本的缩写CSS与层叠样式表(Cascading Style Sheets)冲突,因此改用XSSXSS攻击的...
谈谈前后端分离及认证选择
汉堡请不要欺负面条
09-30 528
什么是前后端分离?为什么要前后端分离? 前后端分离,说的更多的是一种架构上的概念。在传统的web架构中,比如经典的MVC,会分数据层、逻辑层、视图层。这个视图层即我们所说的前端了,映射到代码层面,就是html、js、css等代码文件。数据层和逻辑层更多的是后端部分,例如我们的.java、.go、.py等文件。这些文件会在一个工程中,并不会单独的开发、测试、部署。 在前后端分离的架构中,前端和后端是分开的,分别在不同的工程中。前端有专门的前端开发人员来进行开发、测试,后端则有后端开发人员来进行开发..
如何防止xss脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3246
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网的安全性。
Web安全攻防入门系列 | 脚本攻击和防范技巧 | 只看这一篇文章就够了
QL_2023的博客
04-17 840
脚本攻击XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。
XSS脚本攻击的防护措施
alnh4952的博客
05-27 251
先总结一下常见的攻击手法:1. 依赖漏洞,需要在被攻击的页面种入脚本的手法1.1. Cookie 盗取,通过javascript 获取被攻击种下的cookie,并发送给攻击者。1.1.1. 从cookie 中提取密码等隐私1.1.2. 利用cookie 伪造session,发起重放攻击1.2. Ajex 信息盗取,通过javascript 发起ajex 请求。...
如何防止脚本攻击
大明的博客
08-21 2135
转自:http://www.freebuf.com/articles/web/15188.html 1. 简介 脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网,包括Google, Facebook, Amazon, PayPal等网都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免脚本,浏
xss 脚本攻击漏洞
08-29
脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,攻击者利用这个漏洞向网中注入恶意代码,并在用户浏览器上执行。这种攻击通常发生在存在输入输出的网页应用程序中。 XSS攻击主要分为三种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值