xss攻击

最新推荐文章于 2024-05-03 11:00:47 发布
最新推荐文章于 2024-05-03 11:00:47 发布
阅读量798 收藏 2
点赞数
分类专栏: 其它 文章标签: xss java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48078182/article/details/126324831
版权

1.什么是 XSS 攻击
XSS 其实就是使用 javascript 脚本语言攻击。
XSS攻击应用场景
具体例子

  1. 请求提交表单信息,表单信息转发到另一个页面进行展示。
    比如在评论区中,如果没有做XSS防御处理,那么有人评论了一个带有javascript
    脚本的评论,那么这个脚本会被浏览器解析执行。

  2. 有一些钓鱼网站,在提交参数的时候后面带上 XSS 脚本攻击。
    举例子有这样一个链接:
    http://pay.itmayiedu.com/pay?userId=108money=500&userName=<script.> window . location . href =' http :/// www . itmayiedu . com ';</ script >。
    userName参数后面带了一个脚本参数,它打开了另一个页面,这个页面是一个高仿页面,那么就可能盗取信息。

2. XSS 攻击原理:使用 Js 脚本语言,因为浏覧器默认支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,可能浏览直接进行执行。

3. XSS 攻击最大漏洞常见
论坛、评论 XSS

4. XSS 攻击攻击防御手段
像一些特殊字符,比如<、>如果不进行特殊字符处理的话,很就可能受到 XSS 攻击。
用户如果提交<转换成&lt ; script &gt 。
程序中如何实现,写一个过滤器,拦截所有获取的参数,将特殊字符转换一下。比如>转换成& gt 进行展示,防止 XSS 攻击。

在maven项目中导入如下坐标:

<dependency>
   <groupId>org.apache.commons</groupId>
   <artifactId>commons-lang3</artifactId>
   <version>3.12.0</version>
</dependency>

使用如下方法将参数中的特殊符号转成html可替代的标记
StringEscapeUtils.escapeHtml3();

@Test
public void testXss(){
        String parameter = "<script></script>";//模拟获取到的表单参数
        String s = StringEscapeUtils.escapeHtml3(parameter);//将参数转成这样表达:&lt;script&gt;&lt;/script&gt;
}
IABQL
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的朋友可以参考下
XSS字符编码及浏览器解析原理
BerL1n
12-29 1353
time: 2019-05-12 21:27 XSS字符编码基本介绍: 提起XSS 想到的就是插入字符字符编码与各种解析了!现在介绍一下在xss中最经常用到的编码 html实体编码(10进制与16进制): 如把尖括号编码[ < ] -----> html十进制: < html十六进制:&#x3 c; javascript的八进制跟十六进制: 如把尖括号编码[ < ] -----> js八进制: \74 js十六进制: \x3c jsunicode编码:
复现20字符短域名绕过以及xss相关知识点
ttf_ttf的博客
07-29 866
一些简单的xss知识
XSS知识点和20字符短域名绕过
qq_56970600的博客
07-26 642
XSS知识点和20字符短域名绕过
xss跨站脚本攻击总结
太阳照耀我走四方
07-16 1963
svg onload="alert(1)"> //onerror 当加载文档或图像时发生某个错误无的弹窗语句onclick="alert(1)" //鼠标单击事件onmouseover="alert(1)" //鼠标悬浮事件最后还有很多的绕过姿势,推荐博客cookie:存储本地 存活时间较长 小中型session: 会话 存储服务器 存活时间较短 大型企业使用。
XSS攻击处理
xuzhelin的专栏
09-26 825
1、什么是XSS攻击         XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。    理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞。漏洞的厉害取决于攻击代码
防止XSS攻击封装
weixin_30682415的博客
08-12 373
<?php if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //composer安装的,不需要此步骤。相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 // ...
XSS字符编码的那些事儿
ABC-II
11-22 6181
0x00基本介绍 提起XSS 想到的就是插入字符字符编码与各种解析了! 这也就是各种xss编码插件跟工具出世的原因!之前不懂浏览器是如何对我们编码过的代码进行解析的时候就是一顿乱插! 各种编码 各种插 没把编码还原就算了 还原了就算运气好!后来到PKAV经过二哥和短短的调教后才算是弄清楚了一点编码与解析方面的知识! 现在也算是运用自如了把! 现在介绍一下在xss
常见的7种XSS
weixin_30443075的博客
04-15 173
1. URL Reflection 当URL以某种方式反映在源代码中时,我们可以添加自己的XSS向量/有效负载。对于PHP页面,可以使用斜杠字符(/)在页面名称之后添加任何内容 http://brutelogic.com.br/xss.php/”><svg onload=alert(1)> 需要使用前导标记(“>”)来突破当前标记,以便插入新标记 2...
XSS跨站脚本攻击
Forget_liu的博客
05-03 180
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
一个5000刀的XSS
最新发布
2401_84434570的博客
05-03 219
背景介绍今天分享国外一个白帽小哥Crypto通过发现Apple某网站XSS而获得5000美元赏金的故事。废话不多说,让我们开始吧~
C#(C Sharp)学习笔记_类【十五】
追求细节,成就完美
05-01 364
类(Class)是面向对象程序设计(OOP,Object-Oriented Programming)实现信息封装的基础。类是一种用户定义的引用数据类型,也称类类型。每个类包含数据说明和一组操作数据或传递消息的函数。类的实例称为对象。
链表刷题集
yajunjiao的专栏
04-30 511
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
????
05-01 1418
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1110
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
django xss攻击
06-12
Django已经内置了一些安全性保护机制,可以帮助开发者预防XSS攻击。以下是一些防范XSS攻击的措施: 1. 对用户输入进行过滤和转义。Django提供了多种过滤和转义函数,如escape、escapejs、striptags等,可以有效地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IABQL

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值