xss过滤

最新推荐文章于 2023-09-01 12:12:34 发布
最新推荐文章于 2023-09-01 12:12:34 发布
阅读量315 收藏
点赞数
文章标签: 运维 python
原文链接:http://www.cnblogs.com/leiwenbin627/p/11156726.html
版权 
content="""
<p class='c1' id='i1'>
   asdfaa<span class='c2' style="font-family:NSimSun;">sdf<a>a</a>sdf</span>sdf
</p>
<p>
   <strong class='c2' id='i2'>asdf</strong>
   <script>alert(123)</script>
</p>
<h2>
   asdf
</h2>
<div>
    <p>
</div>
"""
# pip3 install beatifulsoup4
# 对标签操作
from bs4 import BeautifulSoup
soup=BeautifulSoup(content,'html.parser') #传内容 和 html.parser解析器
tag=soup.find('script')  # 找出script标签
tag.hidden=True  #隐藏或删除script标签
# print(tag)
tag.clear() #清空找到标签的 里面的内容
# print(tag)
print(type(soup))
content=soup.decode() #把soup对象转换成字符串
print(type(content))
print(content)


# 对stype操作
from bs4 import BeautifulSoup
soup=BeautifulSoup(content,'html.parser')
span=soup.find('span') #找出 span标签
print(span.attrs) #获取span里面的属性 比如style=...
del span.attrs['style'] #删除属性style

content=soup.decode()
print(content)

# 删除白名单标签
allow_tags=['p','strong']  #合法白名单标签
from bs4 import BeautifulSoup
soup=BeautifulSoup(content,'html.parser')
for tag in soup.find_all():
    print(tag.name)
    if tag.name in allow_tags:#在白名单里面的不处理
        pass
    else:
        tag.hidden=True #不在白名单里面的标签隐藏消失
        tag.clear()
content=soup.decode()
print(content)

#删除非白名单属性
allow_tags={
    'p':['class'],
    'strong':['id']
}  #合法白名单属性
from bs4 import BeautifulSoup
soup=BeautifulSoup(content,'html.parser')
for tag in soup.find_all():
    # print(tag.name)
    if tag.name in allow_tags:#在白名单里面的不处理
        pass
    else:
        tag.hidden=True #不在白名单里面的标签隐藏消失
        tag.clear()
        continue

    #用户提交标签的所有属性
    input_attrs=tag.attrs  #字典 {'class':['c1]}
    # print(input_attrs)
    valid_attrs = allow_tags[tag.name] #[class]
    # print(valid_attrs)
    for k in list(input_attrs.keys()):#字典转换成列表 否则字典会是迭代器 #不能删除在迭代器中的数据
        if k in valid_attrs:
            pass
        else:
            del tag.attrs[k] #不在白名单的属性就删除
content=soup.decode()
print(content)

#对象化
class XSSFilter(object):
    __instance = None

    def __init__(self):
        # XSS白名单
        self.valid_tags = {
            "font": ['color', 'size', 'face', 'style'],
            'b': [],
            'div': [],
            "span": [],
            "table": [
                'border', 'cellspacing', 'cellpadding'
            ],
            'th': [
                'colspan', 'rowspan'
            ],
            'td': [
                'colspan', 'rowspan'
            ],
            "a": ['href', 'target', 'name'],
            "img": ['src', 'alt', 'title'],
            'p': [
                'align'
            ],
            "pre": ['class'],
            "hr": ['class'],
            'strong': []
        }

    def __new__(cls, *args, **kwargs):
        """
        单例模式
        :param cls:
        :param args:
        :param kwargs:
        :return:
        """
        if not cls.__instance:
            obj = object.__new__(cls, *args, **kwargs)
            cls.__instance = obj
        return cls.__instance

    def process(self, content):
        soup = BeautifulSoup(content, 'html.parser')
        # 遍历所有HTML标签
        for tag in soup.find_all(recursive=True):
            # 判断标签名是否在白名单中
            if tag.name not in self.valid_tags:
                tag.hidden = True
                if tag.name not in ['html', 'body']:
                    tag.hidden = True
                    tag.clear()
                continue
            # 当前标签的所有属性白名单
            attr_rules = self.valid_tags[tag.name]
            keys = list(tag.attrs.keys())
            for key in keys:
                if key not in attr_rules:
                    del tag[key]

        return soup.decode()


if __name__ == '__main__':
    html = """<p class="title">
                        <b>The Dormouse's story</b>
                    </p>
                    <p class="story">
                        <div name='root'>
                            Once upon a time there were three little sisters; and their names were
                            <a href="http://example.com/elsie" class="sister c1" style='color:red;' id="link1"><!-- Elsie --></a>
                            <a href="http://example.com/lacie" class="sister" id="link2">Lacie</a> and
                            <a href="http://example.com/tillie" class="sister" id="link3">Tilffffffffffffflie</a>;
                            and they lived at the bottom of a well.
                            <script>alert(123)</script>
                        </div>
                    </p>
                    <p class="story">...</p>"""

    obj = XSSFilter()
    v = obj.process(html)
    print(v)



#单例模式
class Foo(object):
    instance = None

    def __init__(self):
        self.name = 'alex'

    @classmethod
    def get_instance(cls):
        if Foo.instance:
            return Foo.instance
        else:
            Foo.instance = Foo()
            return Foo.instance

    def process(self):
        return '123'

obj1=Foo()
obj2=Foo()
print (id(obj1),id(obj2))

# 单例模式
obj1 = Foo.get_instance()
obj2 = Foo.get_instance()
print(id(obj1), id(obj2))


#高级版单例模式
class Foo(object):
    instance = None

    def __init__(self):
        print('init')
        self.name = 'alex'

    def __new__(cls, *args, **kwargs):
        print('new')
        #先执行new
        if Foo.instance:
            return Foo.instance
        else:
            Foo.instance = object.__new__(cls,*args,**kwargs)
            return Foo.instance

obj1=Foo()
obj2=Foo()
print(obj1,obj2)


转载于:https://www.cnblogs.com/leiwenbin627/p/11156726.html

weixin_30535167
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Xss漏洞常见绕过过滤攻击场景
chaottop的博客
05-04 1449
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
45. XSS篇——XSS过滤绕过技巧
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
【转载】目前主流过滤XSS的三种技术
weixin_30697239的博客
11-07 2490
目前主流过滤XSS的三种技术 过滤 过滤,顾名思义,就是将提交上来的数据中的敏感词汇直接过滤掉。例如对"<script>"、"<a>"、"<img>"等标签进行过滤,有的是直接删除这类标签中的内容,有的是过滤掉之类标签中的on事件或是'javascript'等字符串,让他们达不到预期的DOM效果。 编码 像一些常见的字符,如"<"、">"等。...
XSS漏洞及分析·
qq_56845076的博客
09-01 284
XSS的漏洞和分析
xss过滤技巧
Richard_qi的博客
04-11 3589
xss过滤技巧(个人记录) 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 关闭标签 有时候我们需要关闭标签来使我们的XSS生效。 比如:“><script>alert(“Hi”);</script> 使用hex编码绕过 我们可以对我们的语句进行hex编码来绕过X
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
xss过滤方案
08-10
Web 应用XSS 过滤方案
xss测试代码大全javascript中的xss过滤
03-24
xss测试代码大全
第十二节 XSS 过滤器绕过-01
最新发布
09-15
XSS 过滤器绕过技术详解 XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 应用程序安全漏洞,攻击者可以通过插入恶意脚本来盗取用户信息、破坏网站操作等。为防止 XSS 攻击,开发者通常会使用 XSS 过滤...
xss过滤.zip
06-04
xss攻击,将参数名和参数值都做xss过滤,保证一定的安全性。
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1495
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
XSS篇——XSS过滤绕过技巧
weixin_50464560的博客
05-07 3493
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
pikachuxss过滤、htmlspecialchars
Resets_的博客
09-12 841
pikachu xss过滤、htmlspecialchars
XSS注入方式和逃避XSS过滤的常用方法
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
【应用安全——XSS过滤圆括号、尖括号绕过
热门推荐
Fly_鹏程万里
02-22 4万+
先看下程序大概写法: &lt;?php header("X-XSS-Protection:0"); $out = $_GET['code']; $out = str_replace("&lt;","&amp;lt;",$out); $out = str_replace("&gt;","&amp;gt;",$out); $out = str_replace(&quot
xss攻击突破转义_每周一喂丨3分钟快速了解防不胜防的XSS攻击
weixin_39589253的博客
11-21 340
XSS是一种出现在网页开发过程中的的计算机安全漏洞,而XSS攻击则是指通过利用这些遗留漏洞,将恶意指令代码注入到网页中,使用户加载并执行攻击者恶意制造的网页程序。一般情况下,攻击者制造的恶意网页是JavaScript,但其实Java、 VBScript、ActiveX、 Flash、甚至是普通的HTML都包括在内。如果攻击成功,则攻击者会得到目标的部分高级权限、私密网页、会话和cookie等各种内...
防止常见XSS 过滤 SQL注入 JAVA过滤器filter
qq_34896315的博客
06-05 774
1、首先配置web.xml,添加如下配置信息: <!-- 解决xss & sql漏洞 --> <filter> <filter-name>xssAndSqlFilter</filter-name> <filter-class>com.cup.cms.web.framework.filter.XssAnd...
Springboot xss过滤
07-28
回答: 在Spring Boot中实现XSS过滤可以通过创建自定义过滤器来实现。首先,在Spring Boot启动类中添加过滤器扫描的注解`@ServletComponentScan("com.cpic.config.xss")`,这个注解指定了自定义过滤器的位置。同时,还需要在启动类上添加`@WebFilter`注解来指定过滤器的名称和URL模式。具体的过滤逻辑可以在自定义过滤器的`doFilter`方法中实现。\[1\]\[2\] 在过滤器中,可以使用`XssHttpServletRequestWrapper`来对请求进行包装,以实现XSS过滤的功能。这个包装类可以对请求参数进行过滤,包括表单传值(`@RequestParam`)和URL传参(`@PathVariable`)。\[2\] 需要注意的是,Spring Boot中常见的接收参数方式有三种:`@RequestParam`、`@PathVariable`和`@RequestBody`。对于表单传值(`@RequestParam`),可以通过过滤器来进行XSS过滤。\[3\] 综上所述,可以通过创建自定义过滤器来实现Spring Boot中的XSS过滤。在过滤器中对请求进行包装,并对表单传值进行过滤,以防止XSS攻击的发生。 #### 引用[.reference_title] - *1* *2* *3* [Springboot过滤xss](https://blog.csdn.net/Time_Point/article/details/116162806)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值