【开发注意事项】XSS攻击原理|防范

最新推荐文章于 2024-10-05 11:45:58 发布
最新推荐文章于 2024-10-05 11:45:58 发布
阅读量300 收藏 10
点赞数 3
文章标签: xss 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010346178/article/details/141570169
版权

简介摘自百度百科的一段话:
用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。

前言

Q:为什么写这篇文章?
A:在自己的开源项目sra-admin中,GitHub网友LuckyT0mat0在这项目中发现了文件上传接口的xss漏洞

XSS攻击原理
  1. 攻击者通过上传恶意攻击脚本,比如a.html,在这里举例我这边项目的情况
<script>
    // 攻击脚本就不具体写了,简单描述下
    // 先获取cookie,然后将cookie发送到攻击者的服务器
</script>
  1. 然后攻击者可以在自己的钓鱼网站里让你点击这个链接,比如你浏览到攻击者的钓鱼网站ABC,里面有个吸引你点击的按钮,你点击了,结果是跳转到的是sra-admin项目的 sra-admin/a.html这个页面,然后你是登录了sra-admin这个系统的,结果就是你访问量这个恶意脚本后你的登录信息就发送到攻击者那边了。
如何防范
  1. 在很多开源安全框架中,比如shiro、SaToken这些都会有xss攻击防护的,所以一般的接口不会出现xss漏洞。
    // 如:SaToken xss防护配置
    // ---------- 设置一些安全响应头 ----------
    SaHolder.getResponse()
    // 服务器名称 
    .setServer("sa-server")
    // 是否可以在iframe显示视图: DENY=不可以 | SAMEORIGIN=同域下可以 | ALLOW-FROM uri=指定域名下可以 
    .setHeader("X-Frame-Options", "SAMEORIGIN")
    // 是否启用浏览器默认XSS防护: 0=禁用 | 1=启用 | 1; mode=block 启用, 并在检查到XSS攻击时,停止渲染页面 
    .setHeader("X-XSS-Protection", "1; mode=block")
    // 禁用浏览器内容嗅探 
    .setHeader("X-Content-Type-Options", "nosniff")
;
  1. 但是我这边是一个上传文件接口,所以上传的文件必定能够访问,所以a.html就可以利用这个漏洞进行攻击。如何防范?很简单,就在文件上传接口的那里做个文件格式校验即可。
    // 如
    String[] ts = {"jpg","png","zip"};
    if (Arrays.asList(ts).contains(file.fileType)) {
        //todo 文件安全,可以保存
    } else {
        //todo 不支持文件格式
    }
尾声

出现此类问题还是自己经验不足导致的,所以写一些敏感接口时一定要做校验,尽量缩小值的范围

来个辣椒不加辣
关注
后端开发技术要点&详细案例*注意事项
04-09
了解常见的安全漏洞(如SQL注入、XSS攻击)及相应的防范措施是必要的。此外,性能优化也是不可忽视的一环,它包括代码级别的优化和数据库查询优化等方面。 6. **持续学习和实践**:后端开发是一个不断发展变化的...
如何预防SQL注入和XSS攻击
一个傻子程序媛的博客
06-10 5173
SQL注入简介 SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句...
xss原理防范措施_xss攻击原理与解决方法,阿里巴巴二面注意事项
2301_79098963的博客
04-13 649
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。白名单验证:采用白名单机制,只允许已知的、安全的字符或格式通过验证,任何不在白名单内的内容都应被拒绝。
SSM AND SpringBoot 之XSS注入攻击
weixin_45203607的博客
02-25 654
为啥要防止XSS攻击 先上一段标准解释(摘自百度百科)。 “XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。” 相信以上的解释也不难理解,但为了再具体些,这里举一个简单的例子,就是留言板。我们知道留言板通常的任务就是把用户留言的内容
php编程注意事项_PHP编程注意事项
weixin_29552815的博客
03-09 214
1、php隐性的三元操作符(?:)优先级问题:例1:$person = $who or $person = "laruence";//实际上是等同于:$person = emptyempty($who)? "laruence" : $who;例2$arr = array(1=>1,3=>3);$i = 2;$a = ’test‘ . isset($arr[$i]) ? $arr[$i]...
SpringCloud gateway 防止XSS漏洞
qq_20236937的博客
01-31 1763
此外,面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡也是一件需要考虑的事情。存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS
empt注意事项 php_PHP编程注意事项
weixin_39996478的博客
12-21 135
1、php隐性的三元操作符(?:)优先级问题:例1:复制代码 代码如下:$person = $who or $person = "laruence";//实际上是等同于:$person = empty($who)? "laruence" : $who;例2复制代码 代码如下:$arr = array(1=>1,3=>3);$i = 2;$a = 'test‘ . isset($arr[...
empt注意事项 php_基于PHP编程注意事项的小结
weixin_39984578的博客
12-21 164
1、php隐性的三元操作符(?:)优先级问题:例1:$person = $who or $person = "laruence";//实际上是等同于:$person = empty($who)? "laruence" : $who;例2$arr = array(1=>1,3=>3);$i = 2;$a = 'test‘ . isset($arr[$i]) ? $arr[$i] : $i...
前端面试技巧和注意事项_前端面试必备技巧
weixin_39724382的博客
12-21 315
2020最全的前端面试指南,一个多月 1.8w 字的面试经验积累,凭借它最终成功入职大厂……今年的金三银四刚好赶上疫情,很多大公司都停止招聘甚至裁员,想跳槽的小伙伴被打的措手不及。需求减少要求肯定随之提高,谨以此面经献给在如此艰难之时逆风而动、勇敢坚强的你~前言今年问的难度和深度应该比前几年有所增加,下面从总体分析和重要点两个维度来分析一下:总体分析前端问的最多的还是 js基础、计算机网络基础等,...
在建设网站需要注意哪些安全防护事项
m0_66268916的博客
08-26 906
虽说互联网时代的信息是共享的,也不是所有内容都能随随便便的转载,自己发布的信息也需要注意,由于现在的新广告法管理越来越严苛,有许多网站因触犯了广告法,放了一些不该有的文字,被有心看到就举报,这种事件时有发生,涉及的罚款低至几千元,高到几十多万都有,网站所使用的文字一定要高度重视、谨慎使用,中华文化博大精深,要懂得融会贯通,希望大家坚决严查自己的网站是不是有新广告法敏感词,一旦发觉请立即修改或删掉。网站源码建设开发的安全问题与服务器的安全有关,不然会给网站运行造成很大的麻烦。这可以保证用户获得持续的服务。
防范跨站点脚本攻击(XSS)的HTML表单编写规范
为了有效防范XSS攻击开发者需要了解XSS原理和危害,学习XSS攻击的常见形式与案例分析,并采取相应的防护与防范策略。本文将详细介绍XSS攻击的概念、原理和危害,并提供防护与防范XSS攻击的实用方法和建议。 ## ...
前端安全】:用JavaScript防御XSS攻击的必备策略
![【前端安全】:用JavaScript防御XSS攻击的必备策略]...随着互联网应用的蓬勃发展,XSS攻击已经成为安全防护
Spring Boot Security中防止CSRF与XSS攻击
# 第一章:理解Spring Boot Security中的CSRF攻击 ## 1.1 什么是CSRF攻击? CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种利用用户在已登录的情况下,被迫发送恶意请求的攻击方式。攻击者可以构造一...
Pikachu-xss防范措施 - href输出 & js输出
guanrongl的专栏
10-03 737
要想防止href 标签的xss : 一、可以做输入限定,只允许http 、https 的头的输入;二、结合输入限定后再做特殊字符转义。转义:所有输出到前端的数据,都根据输出点进行转义,比如输出到html中进行html实体转义,输入到 JS 里面的进行 JS 转义。过滤:根据业务需要进行过滤,如:输入点要求输入手机号,则只允许输入手机号格式的数字;从页面代码上看出,这是个href 标签,并且做了href特殊字符转换。核心点是:$ms == 'tmac'总体原则: 输入做过滤,输出做转义。
xss之dom类型
最新发布
m0_74741186的博客
10-05 572
上我们的pikachu。
【CTF Web】Pikachu xss之href输出 Writeup(GET请求+反射型XSS+javascript:伪协议绕过)
HEX9CF的技术博客
10-04 601
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。
XSS简介
weixin_63175492的博客
10-04 490
XSS攻击,通常是指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的攻击。在一开始,这种攻击演示是跨域的,所有叫做"跨站脚本"。跨站脚本攻击,英文全称是Cross Site Script ,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。XSS长期以来被列为客户端web安全中的头号大敌,因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。那么,什么是XSS呢?
[Meachines] [Easy] Sea WonderCMS-XSS-RCE+System Monitor 命令注入
10-04 578
#WonderCMS-XSS-RCE #System Monitor 命令注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值