XSS攻击

最新推荐文章于 2022-09-18 12:40:44 发布
最新推荐文章于 2022-09-18 12:40:44 发布
阅读量586 收藏 8
点赞数 2
分类专栏: 互联网安全 文章标签: XSS 攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39806107/article/details/101519856
版权
什么是 XSS 攻击手段

XSS 攻击 使用的是 JavaScript 脚本注入进行攻击
例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。

XSS 攻击原理

使用 JS 脚本语言,因为浏览器模特让你支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,可能浏览器直接执行

XSS 攻击防御手段

像一些特殊字符,比如<、>如果不进行特殊字符处理的话,很可能受到 XSS 攻击
用户如果提交 < 转换成 &lt;

如何防御XSS攻击

将脚本特殊字符,转换成html源代码进行展示。
步骤:

  1. 编写过滤器拦截所有 getParamter 参数,重写 HttpServletWrapper 方法
  2. 将参数特殊字符转换成 html 原代码保存

重写HttpServletRequestWrapper 防止XSS攻击

// 重写HttpServletRequestWrapper 防止XSS攻击
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	private HttpServletRequest request;

	/**
	 * @param request
	 */
	public XssHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		this.request = request;
	}

	@Override
	public String getParameter(String name) {
		// 过滤getParameter参数 检查是否有特殊字符
		String value = super.getParameter(name);
		System.out.println("value:" + value);
		if (!StringUtils.isEmpty(value)) {
			// 将中文转换为字符编码格式,将特殊字符变为html源代码保存
			value = StringEscapeUtils.escapeHtml(value);
			System.out.println("newValue:" + value);
		}
		return value;
	}

}

SpringBoot启动加上@ServletComponentScan

@MapperScan(basePackages = { "com.xiaoming.mapper" })
@SpringBootApplication
@ServletComponentScan
public class App {

	public static void main(String[] args) {
		SpringApplication.run(App.class, args);
	}

}

过滤器XssFilter

@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //程序防止XSS攻击原理
        //1.使用过滤器拦截所有参数
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        //2.重写 getParamter 方法   HttpServletRequestWrapper
        //3.使用 StringEscapeUtils.escapeHtml() 转换特殊参数
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(req);
        //放行程序,继续往下执行
        filterChain.doFilter(wrapper, servletResponse);

    }

    @Override
    public void destroy() {

    }
}
jx_ming
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
搭建个人轻量级XSS
worwick的博客
05-20 2415
简易搭建个人轻量级XSS服务器操作系统:Centos 6.6web容器:Apache脚本语言:PHP一、 XSS平台的搭建过程1、安装Apache#安装Apacheyuminstall httpd –y#启动apache服务servicehttpd start安装完成后,访问127.0.0.1可以看到Apache首页2、安装PHP#安装PHP环境Yum install php –y使用php -v...
网络安全-靶机pikachu之xss注入与代码分析(XSStrike实战)
关注网络安全、云原生安全
10-27 5383
本文使用靶机pikachu,来练习一下工具XSStrike 常用命令 -u url --skip 跳过确认提示 --skip-dom 跳过dom型扫描 --data post型时的数据 更多内容查看:网络安全-XSStrike中文手册(自学笔记) 反射型XSS(get) 输入kobe 正常 可以看到,是get型,页面返回正常 攻击 python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xss_reflected_get.p
xss 测试
jx362531的专栏
01-06 299
bbbbbb
渗透测试之XSS漏洞:记一次模拟注入攻击
遇事不决 可问春风
09-18 2839
XSS(cross-site script)跨站脚本攻击是一种web应用程序前端漏洞。攻击者将代码注入,用户在使用时由浏览器对漏洞代码进行解析,从而达到恶意攻击用户的特殊目的。
WEB漏洞测试(二)——HTML注入 & XSS攻击
qq_28241149的博客
02-28 2万+
上一篇介绍了我们安装BWAPP来完成我们的漏洞测试 在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是攻击的方式不一样。 我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
xss攻击
qq_45949348的博客
09-11 205
XSS攻击 XSS(跨站脚本攻击):是最常见的Web应用程序安装漏洞之一。而攻击者仅仅只是向Web页面中注入JavaScript代码。 反射性XSS 非持久型XSS(最易出现),当用户访问一个带有XSS代码的URL请求时,服务器端接收到数据后处理,再把待XSS的数据发送到浏览器,浏览器解析后造成漏洞。 在URL中加<script>alert(1)</script> 方法: 1、将 id= 后的内容替换为< script>alert(6)</ script>
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
jedis示例代码压缩包
04-23
jedis示例代码
高分课程设计 QT5.7+Sqllite数据库小系统源码+部署文档+全部数据资料
04-23
【资源说明】 高分课程设计 QT5.7+Sqllite数据库小系统源码+部署文档+全部数据资料 可实现数据库的可视化操作:增、删、改、查.zip 【备注】 1、该项目是高分毕业设计项目源码,已获导师指导认可通过,答辩评审分达到95分 2、该资源内项目代码都经过mac/window10/11/linux测试运行成功,功能ok的情况下才上传的,请放心下载使用! 3、本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,也可作为毕业设计、课程设计、作业、项目初期立项演示等,当然也适合小白学习进阶。 4、如果基础还行,可以在此代码基础上进行修改,以实现其他功能,也可直接用于毕设、课设、作业等。 欢迎下载,沟通交流,互相学习,共同进步!
中文文本分类 传统机器学习+深度学习.zip
04-23
中文文本分类 传统机器学习+深度学习
Linux学习笔记4-点亮LED灯(汇编裸机)程序
最新发布
04-23
Linux学习笔记4---点亮LED灯(汇编裸机)程序
django xss攻击
06-12
Django已经内置了一些安全性保护机制,可以帮助开发者预防XSS攻击。以下是一些防范XSS攻击的措施: 1. 对用户输入进行过滤和转义。Django提供了多种过滤和转义函数,如escape、escapejs、striptags等,可以有效地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值