XSS攻击与防范

最新推荐文章于 2023-05-16 22:24:11 发布
最新推荐文章于 2023-05-16 22:24:11 发布
阅读量393 收藏
点赞数 1
分类专栏: WEB前端 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44675204/article/details/119581277
版权

XSS攻击:跨站脚本攻击(Cross Site Scripting),简单来说就是攻击者想尽一切办法将可执行的代码注入到网页中。

客户端的XSS攻击主要是DOM型,取出和执行恶意代码由浏览器端完成,属于JavaScript自身的安全漏洞。
服务端的XSS攻击主要分为:存储型与反射型。


防范方法:

1、转义字符

如escapeHTML() 方法将HTML元素编码,CSS编码,JS编码,URL编码等等,避免拼接HTML。

2、增加攻击难度(配置CSP)

CSP本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以被加载或执行,我们只需要配置规则,如何拦截是由浏览器实现,可以通过这种方式尽量减少XSS攻击。

1、设置HTTP Header中的 Content-Security-Policy

Content-Security-Policy的值含义
default-src ‘self’只允许加载本站资源
img-src https://*只允许加载https协议图片
child-src ‘none’允许加载任何来源框架

2、设置meta标签方式

<meta charset="UTF-8" http-equiv="content-security-policy" content="child-src 'none';img-src https://*;">

3、校验信息

一些常见的数字、URL、电话号码、邮箱地址等。
开启浏览器XSS防御:Http Only Cookie,禁止JavaScript读取某些敏感Cookie

易山易酒易诗
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
防范XSS攻击程序
07-29
对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
xss攻击防范
Alison_Z的博客
03-12 236
 本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。       XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当...
XSS攻击防范方法
最新发布
m0_58474008的博客
05-16 1288
当恶意攻击者向web应用程序的页面里插入恶意脚本,处于客户端的用户浏览该网页时,嵌入在正常web页面中的恶意代码就会被执行,从而达到攻击攻击访问用户、获取访问用户信息,甚至获取网站权限的特殊目的。DOM型XSS攻击执行的前提是原始网页存在一些修改DOM对象的方法和属性,这些方法及属性能动态地刷新响应页面,并向其中添加一些新的内容,而不需要用户在浏览器里执行任何的操作。如果攻击者利用这一特性,在具有XSS漏洞的 web应用程序中植入恶意脚本,那么被攻击的用户就间接地访问了该恶意脚本。
Web安全:细说前端XSS攻击防范
flying meng的菜鸟居
03-22 3319
近年来web安全问题日益重要,其中“首当其冲”的就是XSS攻击,甚至可以轻而易举的获取此网站上的所有信息,和权限。今早试了一下,果然如此。笔者觉得有必要以此为例写篇文章来总结和警示一下… XSS的“前世今生” XSS原理: XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目...
【网络安全】深入探究XSS攻击防范
weixin_41950078的博客
04-04 687
1.0 什么是XSS攻击? Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 1.1 XSS攻击的形式 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。 在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。 在标签...
PHP防范XSS攻击
IT部落格
03-03 2756
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
XSS攻击防范(加密与解密笔记)
ResumeProject的博客
04-06 528
攻击案例 XSS攻击例子:(简单的修改网页元素,睡眠2s为了先加载元素) 网络钓鱼:         网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。XSS攻击也可以用到网络钓鱼,通过注入代码,让用户先登录你的网页,以
跨站脚本攻击XSS攻击防范指南
kuxing100的专栏
08-08 912
文章目录  XSS攻击防范指南... 1  第一章、XSS的定义... 1  第二章、XSS漏洞代码... 1  第三章、利用XSS盗取cookies. 3  第四章、防范XSS漏洞... 4  第四章、XSS攻击方法... 4  第六章、利用Flash进行XSS攻击... 6  第七章、上传文件进行XSS攻击... 7  第八章、利用XSS
xss攻击 web防范
wpf_China的博客
12-03 640
转义 元素的innerHTML内容即为转义后的字符 ApiContent.htmlEncode = function(str) { var ele = document.createElement('span'); ele.appendChild(document.createTextNode(str)); return ele.innerHTML; } 解析 ApiContent.htmlDecode = function(str) { var ele = documen
XSS攻击防范
橘猫吃不胖的博客
02-06 1162
XSS攻击防范 1 什么是XSS 2 XSS类型 2.1 反射型XSS 2.2 存储型XSS 2.3 DOM型XSS 3 怎么预防XSS 3.1 纯前端渲染 3.2 转义HTML 3.3 关注高危API 3.4 其他措施
计算机后端-PHP视频教程. php之blog实战52-xss攻击防范.wmv
05-22
计算机后端-PHP视频教程. php之blog实战52-xss攻击防范.wmv
XSS攻击防范
05-01
XSS攻击防范 XSS攻击防范
PHP和XSS跨站攻击防范
10-30
### PHP与XSS跨站攻击防范详解 #### 一、XSS跨站攻击概述 XSS(Cross Site Scripting)跨站脚本攻击是一种常见的安全威胁,尤其在Web应用程序中非常普遍。它允许攻击者注入恶意脚本到看似可信的网站上。当其他用户...
Token的存储方式
qq_44675204的博客
08-11 3917
Token: 访问资源的凭证。一般用户通过用户名密码登录后,服务端会将登录凭证做数字签名,加密之后的字符串作为Token。并在客户端后面的向服务端的请求中携带,作为凭证。 Token在客户端的存储主要有: 1、localStroage、sessionStroage,二者主要区别在于,关闭浏览器sessionStroage会被清除,但localStroage不会。将Token存于Web Stroage会导致容易受到XSS攻击,因为Web Stroage作为一种存储机制,在传输过程中不会执行任何安全标准,所以要
单页面应用和多页面应用的区别
qq_44675204的博客
08-16 1256
单页面应用(single page web application,SPA): 只有一个页面,并在用户与应用程序交互时动态更新该页面的Web应用程序。 优点: 1、用户体验好,快,内容改变不需要加载整个页面,对服务器压力较小。 2、前后端分离。 3、页面转场体验好。 缺点: 1、不利于SEO,因为搜索引擎在做网页排名的时候,要根据网页内容给网页权重,来进行网页的排名。搜索引擎是可以识别HTML内容的,而多页应用的每个页面所有的内容都放在HTML中,所以SEO排名效果好,反之单页面应用效果不好。 2、导航不可
客户端缓存的两种方式
qq_44675204的博客
08-11 1001
1、强缓存 服务器通知浏览器一个缓存时间,在缓存时间内,下次请求直接使用缓存,不在时间内,执行比较缓存策略。主要包括 Expires 和 Cache-control。 // Expires let nowTime = new Date(); nowTime.setTime(new Date().getTime() + 3600*1000); ctx.set("Expires", nowTime.toUTCString()); // Cache-control ctx.set("Cache-control
浏览器跨域请求
qq_44675204的博客
08-11 181
浏览器为什么要阻止跨域请求? 因为浏览器为了解决安全问题,采用了“同源策略”,同源指的是:协议、域名、端口都相同,只要有一个不同,就会造成非同源。 例如:https://www.baidu.com:8080 中https是协议,www.baidu.com是域名,8080是端口。 非同源会造成: 1、无法获取cookie、localStroage、indexedDB 2、无法访问页面中的DOM 3、无法发送网络请求 (浏览器会发送请求,并且服务器端可以接收到请求,但浏览器拒绝响应) 解决跨域方式: 1、jso
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

易山易酒易诗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值