XSS的防御方法解析

最新推荐文章于 2023-05-12 17:12:17 发布
最新推荐文章于 2023-05-12 17:12:17 发布
阅读量904 收藏 1
点赞数
文章标签: 安全 安全漏洞 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45590334/article/details/112298300
版权

XSS漏洞的总体防御原则: 输入做过滤,输出做转义

1、用户输入过滤

对用户输入的script等HTML标签和一些JS关键字进过滤。常见的过滤方法由白名单和黑名单两种。
其中Java的JSOUP采用了白名单的方式对用户的输入进行了过滤,在使用时需要指定一个可配置的Whitelist。在JSOUP中提供了一系列的Whitelist基本配置,能够满肚大多数的过滤要求,在有必要的情况下也可以自己配修改配置。
此外还有OWASP ESAPI也能较好的防御XSS漏洞。

2、转义输入与输出的特殊字符

在HTML中,<,>,",& 等符号都有其特殊意义,HTML标签、属性等也都由这些符号所标识。当我们这些字符做转义之后,对XSS漏洞的防御会起到较好的效果。
在PHP中,提供了htmlspecialchars()、htmlentites()函数可以把预定义的字符转义为HTML实体。
预定义的字符与转义结果如下:

  • &(和号)–> &amp;
  • "(双引号)–>&quot;
  • '(单引号)–>&#039;
  • <(小于)–>&lt;
  • 》>(大于)–>&gt;

3、使用HttpOnly

HttpOnly简介:
HttpOnly是微软公司的Internet Explorer 6 SPI 引入的一个新特性。这个特性为cookie提供了与i个新的属性,可以用于阻止用户客户端访问cookie。现在已经成为了一个标准,几乎所有的浏览器都支持HttpOnly。
所以严格来说,HttpOnly对防御XSS漏洞并不起作用,只能解决XSS漏洞后续的cookie劫持的问题。
将cookie设置了HttpOnly属性之后,在浏览器中查看cookie信息,就会发现用户的cookie信息中多了HTTP Only标识。这代表了JavaScript将不能获取该cookie值。
对于XSS漏洞来说,HttpOnly只能防御cookie会话劫持,对于其他的非正常操作、盗取用户信息、钓鱼等攻击并不能起到作用,所以关键还是在于输入输出的过滤与转义。

W0ngk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot xss防御
11-05
本项目"spring boot xss防御"旨在介绍如何在Spring Boot环境中有效地防止XSS攻击。以下是关于这个主题的详细知识点: 1. XSS攻击类型: - 存储型XSS:攻击者的脚本被存储在服务器端,并在后续请求时传递给其他用户...
[JavaWeb]_[初级]_[对Html特殊符号进行转义防止XSS攻击和反转义]
Tobey(我是机器人)
11-03 1755
场景 在开发Java Web程序时,为了防止XSS的JavaScript攻击, 需要对用户输入转义,使JavaScript脚本不能执行. 在前端可以通过获取<div>的innerHTML属性来获取转义内容,但是在服务端如何进行转义?因为客户端是可以绕过的. 说明 HTML内容的转义在开发Web时肯定是必须做的,在入数据库之前得转义,而不是在用的时候再转义。主要是防止在使用这类数据的时候忘记没有转义导致的XSS安全问题. 转义HTML字符主要涉及到5个字符<>"'&
二、XSS(跨站脚本)攻击
weixin_59584646的博客
08-19 980
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSSXSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。 XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。
input框限制输入40个字符_XSS绕过WAF和字符限制
weixin_39761696的博客
12-01 676
原文: XSS WAF & Character limitation bypass like a boss几个月前,我在我Twitter中分享了一个然后XSS WAF和字符限制的方法,这是一个私人的赏金项目。今天我将要分享更多的关于如何绕过的技术细节。希望对大家有所帮助。回到2019年,我那时候正测试一个Web应用程序,这个应用程序允许用户创建相册,并可以上传相片,类似下图:当我单击“...
input禁止输入html转义字符串,xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义...
weixin_39655689的博客
06-07 1079
xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义XSS攻击的防范XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“&lt;”,“>”转义后为“&gt;”,“‘”转义后为“...
防止XSS攻击的方法-使用白名单过滤html标签
没有伞的孩子只能快跑,如若不跑,只有一个结果:超过你的人回头鄙视你
03-14 6412
问题场景:在网页页面的富文本编辑框添加内容是我们常见的操作,在编辑框中可以给内容填色、变字体等等之后,把内容保存到数据库。但是稍微专业的人会通过firebug/fiddler等工具拦截请求,进行修改数据(添加alert(1);等标签),提交到数据库保存,之后加载显示数据时浏览器就执行这些标签。所以我们要在后台处理非正常手段输入的标签内容 解决方法一:jsoup工具类 org.jsoup j
对各类xss攻击手段的过滤
seastars的专栏
03-02 306
收录一下这篇文章,里面包含了各类xss的绕过方法http://ha.ckers.org/xss.html我的富文本过滤器全部可以过滤,屏蔽所有不安全的代码。 不过个别地方比较粗暴,比如flash的action script挂马,我直接禁用了embed标签的src属性css的@import,,等也直接禁用href="javascript:",css的url(java
常见的网络安全攻击和防御方法解析
09-22
包括sql注入、DDos攻击、XSS和CSRF等的攻击原理和防御方法
8、XSS 攻击的防御pdf资料
最新发布
10-15
为了防御XSS攻击,开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
Web安全之XSS攻击与防御小结
02-23
(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。(2)存储型:...
Java Web XSS安全防御
05-01
**Java Web XSS安全防御** XSS(Cross Site Scripting)攻击是网络安全中常见的威胁之一,尤其是在Java Web开发中。这种攻击允许黑客通过注入恶意脚本到网页中,从而窃取用户的敏感信息,如Cookie、Session等。为了...
防御XSS攻击:基于白名单的富文本XSS后端过滤(jsoup)
热门推荐
玩具熊猫的博客
01-23 1万+
简介:  跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。   攻击原理:XSS攻击分为很多,其中一种是,攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码会被执行,从而达到恶意攻击用户的目的。本文主要介绍的是富文本的sc
渗透测试XSS跨站漏洞input输入js特殊字符过滤
a1604914398的博客
05-09 5601
修复建议:建议对用户得输入与输出进行过滤,过滤一些比较危险得标签和关键字,如<script></script>、alert等 代码如下:在input输入框加入onblur事件;定义onblur="checkText('id',this.value)";id为文本框DOMid属性 //验证文本框输入特殊字符 function checkText(id,text){/...
富文本输出如何避免XSS
jimmyleeee的专栏
05-12 2981
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。
xss过滤总结
weixin_42109829的博客
12-04 3339
一。简述 一。简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序. 例如: 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以...
XSS原理和攻防
HHH's Blogs
05-10 403
参考来源:av32599703 Cross Site Scripting 跨站脚本攻击。XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 涉及...
防止XSS漏洞攻击常用解决方案
u013756836的专栏
05-29 2865
漏洞通用描述 跨站脚本攻击(Cross Site Scripting),简称XSS漏洞。 该页面直接将用户在 HTML 页面中的输入(通常是参数值)加载到前端页面,没有预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行此输入。 因此,有可能形成指向站点的若干链接,且其中一个参数包含恶意的 JavaScript 代码。 该代码将在站点上下文中(由用户浏览器)执行,这使得该代码可以直接访问用户当前cookie,继而使用各种方法发送到攻击者服务器,从而盗取用户账
富文本编辑框和防止xss攻击
anmi3721的博客
08-07 1416
一、后台管理页面构建 1、创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_backend), re_path("cn_backend/add_article/$", views.add_article), ... ] 2...
vue 如何防止xss攻击 框架_LearningNotes-1/Vue/Vue中防止XSS脚本攻击 at master · axuu/LearningNotes-1 · GitHub...
weixin_39746282的博客
12-22 583
Vue中防止XSS脚本攻击最近写了一个博客评论模块,因为引入了表情包,所以就将原来的v-text的形式,改成了v-html,也就是渲染html标签,但是这样不可不免的会带来问题,就是XSS跨站脚本攻击XSS解决方案官网:点我传送XSS脚本攻击跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户...
XSS防御实战:入门到进阶案例解析
5. 文章还涉及了XSS过滤器的绕过技术,包括通用的策略和更细致的猥琐绕过方法,以及如何利用存储型XSS进行套现或利用特定规则构造恶意代码。 6. 存储型XSS,特别是针对什么都没过滤的情况和富文本的绕过,展示了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值