解决反射型XSS漏洞攻击

最新推荐文章于 2024-07-29 10:56:14 发布
最新推荐文章于 2024-07-29 10:56:14 发布
阅读量4.6k 收藏 11
点赞数
文章标签: java javascript 前端 ViewUI
原文链接:http://www.cnblogs.com/han-sun/p/10463834.html
版权
本文探讨了防止反射型XSS攻击的方法,包括前端在文本输入框中过滤非法字符,以及后台通过自定义过滤器处理请求参数,确保API服务的安全性。
摘要由CSDN通过智能技术生成

对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台。

一、首先从前端考虑过滤一些非法字符。

前端的主控js中,在<textarea> 输入框标签中,
找到点击发送按钮后,追加到聊天panel前 进行过滤Input输入内容

 

 1         // 过滤XSS反射型漏洞
 2         filterInputTxt: function (html) {
 3             html = html.replace(/(.*<[^>]+>.*)/g,"");    // HTML标记
 4             html = html.replace(/([\r\n])[\s]+/g, "");    // 换行、空格
 5             html = html.replace(/<!--.*-->/g, "");    // HTML注释
 6             html = html.replace(/['"‘’“”!@#$%^&*{}!¥()()×+=]/g, ""); // 非法字符
 7             html = html.replace("alert","");
 8             html = html.replace("eval","");
 9             html = html.replace(/(.*javascript.*)/gi,"");
10             if (html === "") {
11                 html = "你好";
12             }
13             return html;
14         }

 

二、在后台API服务解决反射型XSS漏洞

thinking:一般来说前端可以过滤一下基本的非法恶意代码攻击,如果恶意脚本被请求到服务端啦,那么就需要请求参数未请求接口前进行过滤一些非法字符。

handle:1、自定义过滤器实现Filter接口

    2、在doFilter方法中对request、response进行设置处理

 

##处理request请求参数。

  1 /*
  2  * Copyright (C), 2001-2019, xiaoi机器人
  3  * Author:   han.sun
  4  * Date:     2019/2/28 11:39
  5  * History:
  6  * <author>          <time>          <version>         <desc>
  7  * 作者姓名          修改时间          版本号            描述
  8  */
  9 package com.eastrobot.robotdev.filter;
 10 
 11 import javax.servlet.http.HttpServletRequest;
 12 import javax.servlet.http.HttpServletRequestWrapper;
 13 import java.util.Map;
 14 import java.util.regex.Matcher;
 15 import java.util.regex.Pattern;
 16 
 17 /**
 18  * 〈一句话功能简述〉<br>
 19  * TODO(解决反射型XSS漏洞攻击)
 20  *
 21  * @author han.sun
 22  * @version 1.0.0
最低0.47元/天 解锁文章
weixin_30466953
关注
java前端提示反射xss_搜索框反射xss问题解决(网站开发)
weixin_39621669的博客
02-28 682
什么是反射XSSXSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等等。利用该漏洞攻击者可以劫持已通过验证的用户的会话。劫持到已验证的会话后,攻击发起者拥有该授权用户的所有...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
反射XSS漏洞详解
gb4215287的博客
02-04 2125
反射XSS漏洞 如果一个应用程序使用动态页面向用户显示错误消息,就会造成一种常见的XSS漏洞。通常,该页面会使用一个包含消息文本的参数,并在响应将这个文 本返回给用户。对于开发者而言,使用这种机制非常方便,因为它允许他们从应用程序调用一个定制的错误页面,而不需要对错误页面的消息分别进行硬编码。 例如,下面的URL返回如图12-1所示的错误消息: https://wahh-app.co...
渗透测试基础-反射XSS原理及实操
最新发布
2401_84618514的博客
07-29 385
XSS的防护方法和注入也一样,过滤为主,将尖括号和单双号引号都进行实体编码了,这里就不存在XSS了。《最好的防御,是明白其怎么实施的攻击》网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
反射xss解决方法,增加过滤器,防止反射 XSS攻击漏洞
wuli_qiyou的博客
01-17 4415
web.xml配置 <filter> <filter-name>XSSFilter</filter-name> <filter-class>com.xxx.filter.NewXssFilter</filter-class> </filter> <filter-mapping> <filter-name>XSSFilter</filter-name> <url
反射XSS漏洞的条件+类+危害+解决
gb4215287的博客
02-04 2917
XSS攻击需要具备两个条件:需要向web页面注入恶意代码;这些恶意代码能够被浏览器成功的执行。 XSS攻击有2种: 反射攻击; 存储攻击 XSS反射攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 XSS存储攻击,恶意代码被保存到目标网站的服务器,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛、OA、CRM等社交...
【安全牛学习笔记】反射XSS攻击漏洞的原理及解决办法
edu_aqniu的博客
10-23 1万+
发射XSS 漏洞的原理及修复方法 1.常见的触发场景 2.漏洞原理 3.漏洞危害 4.一些tips 5.如何避免&修复漏洞 直接将用户数据输出到浏览器,没有做安全处理 搜索: www-data@:~/controller$ vim searchController.class.php class secrchController
java 防止反射_解决反射XSS漏洞攻击
weixin_29777019的博客
02-25 3197
对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台。一、首先从前端考虑过滤一些非法字符。前端的主控js,在 输入框标签,找到点击发送按钮后,追加到聊天panel前 进行过滤input输入内容1 // 过滤xss反射漏洞2 filterinputtxt: function (html) {3 html = html.repl...
奇安信安全扫描漏洞解决路径遍历和存储xss反射xss攻击漏洞
11-09
亲测可用,漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
php反射xss,利用反射XSS漏洞,模拟获取登录账户的Cookie
weixin_39819152的博客
04-01 761
目录结构一、测试环境二、测试目标三、原理描述四、操作步骤1.在服务器上搭建并启用hacker测试网站2.在服务器上测试站点根目录内创建一个存放攻击脚本的文件夹3.在xss文件夹下创建攻击脚本、cookie存储文件4.浏览器客户端向服务端提交特殊构造的XSS攻击脚本5.检查服务端获取到的cookie信息6.验证服务端获取到的cookie的有效性一、测试环境:PhpStudy+DVWA二、测试目标:从...
反射xss攻击代码.rar
05-14
xss攻击java实现反射xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
XSS漏洞攻击与防护源代码
10-31
XSS攻击主要有三种类反射XSS、存储XSS和DOMXSS。 1. 反射XSS:也称为非持久性XSS攻击者通过构造含有恶意脚本的URL发送给受害者,受害者点击后,脚本在当前页面被执行。例如,一个搜索功能如果没有对...
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1634
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
反射XSS
jessysong的博客
08-12 2147
参考:http://netsecurity.51cto.com/art/201311/417201.htm
java前端提示反射xss_解决反射XSS漏洞攻击
weixin_39664585的博客
02-28 1195
1 /*2 * Copyright (C), 2001-2019, xiaoi机器人3 * Author: han.sun4 * Date: 2019/2/28 11:395 * History:6 * 7 * 作者姓名 修改时间 版本号 描述8 */9 package...
反射XSS的逆袭之路
weixin_30446613的博客
01-06 126
0×00背景 这是一次结合各自技巧的渗透过程,由于原作者的截图不多,我们只是简单叙述一下思路~ 目标是一家本地的游戏公司,起因是找到一个反射xss,但是却被对方公司忽略,而作者身边的一个妹子也在这家公司工作,便起了搞定这家公司的决心。 以下正片 ===================================================== 0×01信息收集 目标公司...
XSS-反射
热门推荐
qq_39416206的博客
03-14 1万+
xss反射
java 反射xss漏洞
06-02
Java反射XSS漏洞是指攻击者利用Java反射机制构造恶意输入,从而触发Web应用程序的反射机制,导致恶意代码被执行的漏洞攻击者可以通过构造恶意请求,将恶意代码注入到应用程序,使得用户在访问页面时受到攻击。 为了防止Java反射XSS漏洞的发生,可以采取以下措施: 1. 对用户输入进行严格的校验,包括对输入的内容进行过滤和转义,以确保用户输入不包含任何恶意代码。 2. 使用安全的编程方式,如不直接拼接字符串等,以避免在代码暴露可执行的字符串。 3. 对反射机制进行严格的控制,只允许调用可信的方法和对象。 4. 及时更新开发框架和组件,以修复已知的漏洞和弱点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值