XSS 攻击与防御 | OWASP 提供XSS防御方案

最新推荐文章于 2024-04-18 09:34:24 发布
最新推荐文章于 2024-04-18 09:34:24 发布
阅读量678 收藏
点赞数
原文链接:https://blog.csdn.net/sunpx3/article/details/81563487
版权

作为搞WEB的JAVA程序员,前台很容易碰到xss类的漏洞,但又不具备专业的安全知识,工作中项目紧的时候又没时间去研究那东西,所以就需要一个拿来就能用的,安全性合格的xss防御方法。

很幸运OWASP就提供了一个供java开发使用的xss防御方案。OWASP Java Encoder Project
     OWASP的大名相信搞安全的同学都熟的不能再熟了,OWASP是一家给个人或企业提供 安全项目的一个非营利组织。
直接看个例子

很明显的xss存储漏洞。因为没做任务过滤处理嘛-

然后导入jar

    <!-- xss -->


            org.owasp.encoder
            encoder
            1.2.1
        
        
        
            org.owasp.encoder
            encoder-jsp
            1.2.1
        
 在接收前台传来的消息处加上

    /**
	 * 收到客户端消息后调用的方法
	 * @param message 客户端发送过来的消息
	 * @param session 可选的参数
	 */
	@OnMessage
	public void onMessage(String message, Session session) {
		System.out.println("来自客户端的消息:" + message);
		message = Encode.forHtmlContent(message);
		sendMsgToClient(WebKeys.SEND_MESSAGE , message);
	}

message = Encode.forHtmlContent(message);

其他什么都不用改,再来测试下。

看到吧,很明显已经过滤了。这种方法就是简单,速度快,安全性还有保障,感兴趣的同学可以看看源码。
————————————————
版权声明:本文为CSDN博主「sunpx3」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/sunpx3/article/details/81563487

sisi_8991
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS(跨站脚本攻击攻击防御
zhaohong_bo的专栏
05-21 1084
一、 XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用户...
XSS防御攻击 基础防范
jokeruan的博客
08-31 239
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 XSS攻击 XSS攻击类似于SQL注入攻击攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XS
前端安全跨站脚本攻击
sunshine的博客
08-11 871
- 攻击者将恶意代码提交到目标网站的数据库中。 - 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。 - 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。 - 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。...
owasp-java-encoder:OWASP Java编码器是Java 1.5+的易于使用的嵌入式高性能编码器类,没有依赖关系,而且负担很轻。 该项目将帮助Java Web开发人员防御跨站点脚本!
05-23
OWASP Java编码器项目 上下文输出编码是停止跨站点脚本编写所必需的计算机编程技术。 该项目是Java 1.5+易于使用的嵌入式高性能编码器类,几乎没有负担。 开始使用OWASP Java编码器 您可以从下载JAR。 JSP标签和EL函数可在encoder-jsp中使用,也可以在。 这些罐子也可以在Maven中使用: < dependency> < groupId>org.owasp.encoder</ groupId> < artifactId>encoder</ artifactId> < version>1.2.3</ version> </ dependency> < dependency> < groupId>org.owasp.encoder</ groupId> < artifactId>encod
shiro java.lang.NoClassDefFoundError orgowaspencoderEncode
m0_67401153的博客
04-07 1698
将shiro1.2.1版本升级到1.5.3版本,需要引入encoder,否则启动时会提示 java.lang.NoClassDefFoundError: org/owasp/encoder/Encode <dependency> <groupId>org.owasp.encoder</groupId> <artifactId>encoder</artifactId> <version>1.2.1&lt
shiro升级到shiro-1.7.1
zhuimenghou的博客
07-20 2947
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
探索 OWASP Java Encoder:为您的应用程序提供安全保障
gitblog_00076的博客
04-18 319
探索 OWASP Java Encoder:为您的应用程序提供安全保障 项目地址:https://gitcode.com/OWASP/owasp-java-encoder OWASP Java Encoder 是一个由 OWASP(开放网络应用安全项目)维护的强大工具,旨在帮助开发者预防跨站脚本(XSS)和其他注入攻击。该项目的核心目标是提供可靠的、高性能的字符串编码函数,以确保在处理和显示用户输...
Java防止xss攻击附相关文件下载
08-25
保持对最新的安全实践和框架更新的了解,定期对开发团队进行安全编码培训,提高他们对XSS攻击的认识和防御能力。 总之,Java防止XSS攻击需要综合运用多种技术,包括过滤、转义、验证和使用安全的编程实践。开发...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...
xss跨站脚本攻击与预防
11-04
**XSS跨站脚本攻击详解** XSS(Cross Site Scripting)跨站脚本攻击...通过阅读《XSS跨站脚本攻击剖析与防御(完整版).pdf》,我们可以深入学习这方面的知识,并结合实际项目中的`xss-html-filter`工具来实践防御策略。
前端安全系列:如何防止XSS攻击
01-27
在本文中,我们将深入探讨XSS攻击的各个方面,并提供预防和检测策略。 首先,我们要明确,XSS防护不仅是后端开发人员的责任,前端开发人员同样需要对此负责。尽管后端可以通过验证和转义用户输入来减少攻击机会,但...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java框架,用于快速开发高效...
反射型xss测试(owasp
qq_1062290728的博客
03-31 1037
原文 How to test 黑盒测试 黑盒测试至少包括3个阶段: 寻找输入 对于每个网页,测试者要确认所有web应用中用户定义的变量,以及如何输入它们。这包括隐藏的输入,比如http参数、post数据、表单的隐藏字段和预定义的值。通常,用浏览器自带的html编译器或web代理来查看隐藏变量。 分析输入 分析每个输入以检测潜在漏洞。为了检测xss漏洞,测试者通常使用特定构建的输入数据。这类输入一般是无害的,但能触发此漏洞。测试数据能够用web应用fuzzer产生,或手动生成。这种输入的一些例子如下: &l
OWASP——SQL注入(一)
cas的无名博客
02-26 4539
对于OWASP发布的十大安全风险简单介绍在上一篇博文已经分享了,本文是对2013年发布的OWASP Top 10中的A1注入部分进行分享学习。
在spring boot中使用ESAPI报错: java.lang.ClassNotFoundException: org.owasp.esapi.reference.DefaultEncoder
xilin6664的博客
01-01 6658
刚开始一直纠结于以下错误信息: 就开始上网查资料,说法挺多的,有环境变量设置:-Dorg.owasp.esapi.resources 或者是ESAPI.properties配置文件位置放的不对等等.我就开始尝试将ESAPI.properties和validation.properties连个配置文件在项目路径和用户文件夹下都进行了复制粘贴.结果运行之后还是报如下错误: 就又开始了...
Java中的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
前端安全(一)XSS攻击原理及防范
qq_34416331的博客
12-18 2407
前端是直面用户的窗口,其安全性却是最容易被忽略的一环。本文将介绍: 一、什么是XSS攻击 1.1 定义 1.2 XSS攻击的危害 二、 XSS攻击类型 2.1 反射型攻击 2.2 存储型攻击 2.3 DOM型攻击 2.4 三种攻击类型的区别 三、 如何防范XSS攻击 3.1 设置Cookie HttpOnly 为 true 3.2 纯前端渲染 3.3 使用合适的转义库...
JavaScript 音乐播放器及其源代码.zip
最新发布
07-22
项目:带有源代码的 JavaScript 音乐播放器 JavaScript 音乐播放器是一个使用 JavaScript、CSS 和 HTML 开发的简单项目。这个项目很有趣。在这里,用户可以通过单击不同颜色的图块来播放不同类型的曲调,并欣赏音乐的声音。此外,用户可以像钢琴一样使用它们来生成不同的曲调。   项目制作 音乐播放器项目仅包含 HTML、CSS 和 JavaScript。谈到该系统的功能,用户可以播放不同类型的音乐。您只需单击不同颜色的图块即可收听音乐。该项目包含大量 JavaScript,用于使项目正常运行。 如何运行该项目? 要运行此项目,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox。要运行此系统,首先,通过单击 index.html 文件在浏览器中打开项目。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
XSS攻击详解:跨站安全漏洞的危害与防范
提供的链接指向一个博客和百度网盘,提供关于XSS攻击的深入学习资料,以及含有多种类别书籍和PDF资源的在线服务,包括但不限于IT相关书籍、雅思、托福、SAT、GRE等各类考试资料和专业教材。 XSS跨站攻击是一种不容...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值