xss攻击html编码,通过HTML编码防御XSS跨站脚本攻击的研究

最新推荐文章于 2024-05-13 12:10:52 发布
最新推荐文章于 2024-05-13 12:10:52 发布
阅读量369 收藏
点赞数
文章标签: xss攻击html编码

龙源期刊网 http://www.doczj.com/doc/658f2e0ff11dc281e53a580216fc700abb6852e5.html

通过HTML编码防御XSS跨站脚本攻击的研究

作者:刘达

来源:《网络空间安全》2016年第06期

1 引言

跨站脚本攻击(Cross SiteScript,XSS)是指恶意的攻击者利用Web程序的安全漏洞,从客户端提交有含有恶意代码的表单内容或向他人发送含有恶意脚本的超链接以盗取用户Cookie 信息,甚至获得管理员权限的网络攻击手段。目前针对XSS攻击的防御手段主要有提高浏览器的安全性能,在Web服务器端部署用户输入过滤器等方式,但面对XSS日新月异的攻击手段,防御的一方总是处于被动。针对上述问题,本文对如何在开发环节中对HTML网页的输入,输出数据进行编码以防范XSS攻击进行研究,并提出了相应的编码规范。

2 XSS攻击原理

XSS跨站脚本是指恶意攻击者巧妙利用Web应用程序在数据输入和输出过程中漏洞,将恶意代码嵌入网页或RUL,当用户浏览网页或点击链接访问网站时,恶意代码被执行,用户

遭到攻击。XSS攻击类型可分为DOM Based XSS和Stored XSS。

2.1 DOM Based XSS

DOM Based XSS是一种基于网页DOM结构的攻击。攻击者在研究了目标用户所访问的网站URL结构并猜测出目标网站的页面处理方式后,向目标用户发送含有恶意脚本的目标网站链接。例如,网站A的Url结构是根据Content参数返回显示页面的。攻击者则可设计如下含恶意脚本的链接:

http://http://www.doczj.com/doc/658f2e0ff11dc281e53a580216fc700abb6852e5.html?content=

该链接被执行后,用户的Cookie信息被攻击者获取,且页面将跳转至攻击搭建的B网站,继续骗取用户的账号与口令。这种攻击方式又被称为反射型XSS。

2.2 Stored XSS存储式XSS漏洞

Stored XSS存储式漏洞,又称为持久性跨站脚本攻击,其原理是通过网页表单将恶意脚击提交到网站服务器嵌入Web页面中,所有浏览该页面的用户客户端都将受到恶意脚本的攻击。

老年性CACZ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全中的XSS攻击
lzhy666的博客
04-20 437
通过系列8中同源的策略我们知道,由于其非绝对性,能通过在页面嵌入跨域资源,通过cors来来允许跨源访问和通过js中的API来实现跨文档消息机制,这些机制同时带了很多安全问题。
反射型XSS攻击
weixin_62976579的博客
09-16 592
简单的反射型XSS
【网络安全 前端XSS防护】一文带你了解HTML的特殊字符转义及编码_xss特殊字符替换
最新发布
2401_84970385的博客
05-13 778
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
xss攻击原理与解决方法html编码,XSS攻击处理(示例代码)
weixin_31201737的博客
05-31 5266
1、什么是XSS攻击XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞。漏洞的厉害取决于攻击代码的能力。2、XSS攻击常见危害...
xss怎么绕过html编码,看我如何绕过WAF的XSS检测机制
weixin_35665984的博客
07-01 652
概述本文提出了一种绕过XSS安全机制的新型方法,这种技术由三个阶段组成:确定Payload结构、探测和混淆处理。首先,我们需要针对给定的上下文环境,确定各种不同的Payload结构以达到最优的测试效果。接下来就是探测,这里涉及到根据目标所实现的安全机制来进行各种字符串测试,并分析目标的响应数据以便基于分析结果来做出安全假设。最后,根据分析结果来判断是否要对Payload进行混淆处理或结构调整。致读...
html 没指定字符集 导致的 xss,解析如何防止XSS跨站脚本攻击
weixin_35739967的博客
06-19 223
不要将输出解码与Unicode字符编码的概念弄混淆了,后者涉及映射Unicode字符到位序列。这种级别的编码通常是自动解码,并不能缓解攻击。但是,如果没有正确理解服务器和浏览器间的目标字符集,有可能导致与非目标字符产生通信,从而招致跨站XSS脚本攻击。这也正是为所有通信指定Unicode字符编码(字符集)(如UTF-8等)的重要所在。Escaping是重要的工具,能够确保不可信数据不能被用来传递注...
XSS跨站脚本攻击剖析与防御
04-28
第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。
xss跨站脚本攻击-运维安全详细笔记
06-30
为了防御xss跨站脚本攻击,Web开发者需要采取以下措施: * 对用户提交的代码进行转义处理和过滤 * 使用输出编码 * 使用Content Security Policy(CSP)来限制网站的脚本执行 * 对网站的输入进行验证和过滤 * 使用...
8、XSS 攻击的防御pdf资料
10-15
XSS跨站脚本攻击)是网络安全领域中一种常见的攻击方式,主要利用JavaScript来实施恶意行为。这种攻击之所以称为XSS,是因为原本的缩写CSS与层叠样式表(Cascading Style Sheets)冲突,因此改用XSSXSS攻击的...
Web安全之XSS攻击防御小结
10-17
Web安全中的XSS攻击是一种常见的网络攻击方式,全称为跨站脚本攻击。攻击者通过在Web页面中插入恶意的JavaScript代码,当受害者访问这些被污染的页面时,恶意脚本将被执行,从而可能导致敏感信息泄露、账户劫持等...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
为啥进行html标签编码可以防止XSS
zwbHUST的博客
12-10 2365
众所周知,html字符编码可以防止大部分的XSS攻击。一直以来有一个疑问,为什么对编码解码为<script></script>后,不会进行对此标签继续进行解析呢? 一定有一些底层的原理来解释这个问题。 解释如下: HTML解析器以状态机的方式运行,它从文档输入流中消耗字符并根据其转换规则转换到不同的状态。 示例: <html> <body> Hello world </body> </html> 1、 初始状
如何防御xssHTML编码和JS编码
weixin_42299862的博客
07-10 962
https://www.jianshu.com/p/c0dc4bbab8e8 <p>${content}</p> 如上述代码所示,在P标签中存在一个输出变量${content},浏览器解析的过程,首先是HTML解析,解析到P标签时,解析Content的内容,然后将其在页面显示出来。 <p><script>alert("实体XSS");</script></p> 如果我们把Content的内容换成上面内容,即script脚本,那么浏览
JSP过滤器防止Xss漏洞
热门推荐
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
jsp <html text xss,JSP中使用JSTL,并且解决XSS安全问题
weixin_32115639的博客
06-16 120
普通的Java Web项目中使用JSTL来简化JSP, 以及使用 标签处理Cross-Site Scripting安全问题。1. 下载JSTL必要的jar包官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/下载jakarta-taglibs-standard-1.1.2.zip包并解压,将jakar...
html攻击字符,HTML编码是否会阻止各种XSS攻击
weixin_33201531的博客
06-17 210
没有。抛开允许一些标签的问题(不是问题的重点),HtmlEncode根本不覆盖所有的XSS攻击。例如,考虑服务器生成的客户端JavaScript – 服务器dynamic输出htmlencoded值直接到客户端JavaScript,htmlencode 不会停止注入的脚本执行。接下来,考虑下面的伪代码: id=textbox>现在,如果它不是立即显而易见的,如果somevar(当然是由用户...
xss防御
weixin_43326436的博客
06-09 757
1.xss防御的总体思路是:对用户的输入(和URL参数) 进行过滤,对输出进行html编码,也就是对用户的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出页面的内容进行html编码,使脚本无法在浏览器中执行。 2.对输入的内容进行过滤,可以分为黑名单过滤和白名单过滤,黑名单虽然可以拦截大部分的xss攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝xss攻击,但是真实环境中一般是不能进行如此严格的白名单过滤的。 3.对输出进行html编码,就是通过函数,将用
基于HTML5智慧监所三维可视化安防管控系统
码为人生的博客
04-23 796
物联网技术的发展使云计算技术得到了迅猛的发展及广泛的应用,智能体系的创建已经成为监狱发展的必然趋势。智慧监狱的创建、智能化管理的推行是监狱管理的创新,也是监狱整体工作水平提升的具体体现。“智慧监狱”基于物联网、云计算、大数据、移动互联网等现代技术,以智慧监所三维可视化综合管理平台为主体,将视频监控系统、应急警报系统、周界控制系统、监区门禁系统、民警巡视管理系统、电化教育(广播)系统、会见管理系统、违禁物品检测系统、讯问指挥系统等各类技术子系统和公安监管场所日常办公系统等相结合的综合性集成系统。
html代码工作原理,浏览器工作原理与XSS-HTML编码
weixin_39853968的博客
05-30 383
简介编码问题一直是个痛点,尤其是当我们对XSS攻击原理不是很熟悉的话,防护起来很容易造成遗漏。要想很好的防护住XSS攻击,需要对浏览器解析HTML、JS、CSS的原理弄清楚,了解浏览器的工作原理,才能做好防护工作。小编也是搜集网上资料进行学习,并整理分享下该篇文档。(一)浏览器的结构浏览器的主要组件,包含用户界面、浏览器引擎、呈现引擎、网络、用户界面后端、JavaScript解释器、数据存储。这里...
xss跨站脚本攻击剖析与防御 (邱永华著)
12-22
XSS跨站脚本攻击剖析与防御》是邱永华所著的一本关于网络安全的专业著作。本书详细介绍了XSS跨站脚本攻击的原理、技术及防御手段。 XSS跨站脚本攻击是一种常见的Web应用程序安全漏洞,攻击者通过注入恶意脚本代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值