mysql哪些xss要转译查询_为了防止 xss 攻击,html 中的什么字符需要被转译 v1.1

最新推荐文章于 2022-08-13 21:50:54 发布
最新推荐文章于 2022-08-13 21:50:54 发布
阅读量204 收藏
点赞数
文章标签: mysql哪些xss要转译查询
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32058991/article/details/113218427
版权

xss 是最常见的一种网络安全攻击方式之一,你可以点击此处来详细了解xss。

两种需要转译的情况

一、向 document 插入元素时

当你向页面的 document 对象插入一个元素时,元素的内容里有三种字符需要被转译:

& becomes &

< becomes <

> becomes >

需要注意的点有两个:这种情况需要转译的仅仅是元素的内容,如:

here

...

2.script 和 style 由于其标签的特殊性,其内容不需要被转译:

not-here

not - here;

二、向元素插入属性值时

当你向元素插入一个属性时,有两种字符需要被转译:

" becomes "

' becomes '

需要注意的点有两个:此情况需要转译的仅仅是元素的属性值,如:

...

一些建议在某些情况下,你不对以上字符进行转译可能不会发生问题,但请别这样做,因为你可能会在这些地方栽跟头。

通常,你不应该把空格转译成 ,因为   不是一个正常的空格,它不会被折行,除非你想特地利用 来使你的文本不发生折行,但这是不被推荐的。你应该用pre标签或white-space来控制你的文本的不折行。

 的另一个用处是可以插入同等数量的空格同时不会被折叠成一个空格(我们知道 html 里面的连续的空格或换行符会被折叠成一个空格),这不经常用到。

总之,在包含动态插入的开发工作中,你都应该对以上提到的字符进行转译。幸运的是,很多框架已经帮你做了这件事了,比如react-dom 的 escapeTextForBrowser 函数,所有经过 ReactDom 渲染的动态插入,都会经过 escapeTextForBrowser 函数的一次检测+转译。

其他

除了转译html,另一个常用的方法是CSP(Content Security Policy),它的原理是:

A CSP compatible browser will then only execute scripts loaded in source files received from those allowlisted domains, ignoring all other script (including inline scripts and event-handling HTML attributes)

参考

参考:https://stackoverflow.com/questions/7381974/which-characters-need-to-be-escaped-in-html​stackoverflow.comContent Security Policy (CSP)​developer.mozilla.org343d746e3173c4d6173e374f31fd69e3.png

Min Xu
关注
xss攻击突破转义_WEB安全之XSS攻击方式与防御方式
weixin_39520393的博客
11-21 882
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
java 富文本 xss_Jsoup 防止富文本 XSS 攻击
weixin_39836726的博客
02-16 1101
服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其的 JS 代码, 在 Java 使用 Jsoup 正好可以满足此要求实现原理Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单只允许 p 标签存在, 此时在一段 HTML 代码,** 只能存在 p 标签 **, 其他标签将会被清...
XSS危险字符以及其处理方法
01-12
本文档包含了XSS危险字符的基本介绍,以及与其对应的在java以及JSP的处理方法
mysql哪些xss转译查询_快速对字符转义,避免跨站攻击XSS
weixin_35457595的博客
02-08 320
XSS已经成为非常流行的网站攻击方式,为了安全起见,尽量避免用户的输入。可是有些情况下不仅不避免,反而要求鼓励输入,比如写博客。博客园开放性很高,可以运行手写的JS。之前比较著名的例子就是,凡是看到某一篇文章的,都自动关注他。如果避免跨站攻击的话,我们就得对用户的输入,进行转义。例如alert('hello world')。如果直接保存这个字符串的话,然后再输出的话,就会运行JS了。我们需要将这个...
xss攻击突破转义_每周一喂丨3分钟快速了解防不胜防的XSS攻击
weixin_39589253的博客
11-21 354
XSS是一种出现在网页开发过程的的计算机安全漏洞,而XSS攻击则是指通过利用这些遗留漏洞,将恶意指令代码注入到网页,使用户加载并执行攻击者恶意制造的网页程序。一般情况下,攻击者制造的恶意网页是JavaScript,但其实Java、 VBScript、ActiveX、 Flash、甚至是普通的HTML都包括在内。如果攻击成功,则攻击者会得到目标的部分高级权限、私密网页、会话和cookie等各种内...
Zynga将Cocos2D-X移植到Emscripten
CSDN与《程序员》总编观察
05-17 573
Emscripten是Mozilla的一个新项目,通过LLVM将C++转换为JavaScript,从而可以直接在浏览器里跑C++代码。另外,也将OpenGL转换为WebGL。详情参见Zynga的工程博客:http://code.zynga.com/2013/05/zynga-ports-cocos2d-x-to-emscripten/HN上的讨论:https://news.ycombinator....
XSS的防御
weixin_40270125的博客
04-27 1万+
XSS的防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施,比如Firefox的CSP,Noscript扩展,IE8内置的XSS Filter等。而对于网站来说,也应该寻找优秀的解决方案,保护用户不被XSS攻击。 1)HttpOnly HttpOnly最早是由微软提出,并在IE 6实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Coo...
vue xss 存在_防止XSS脚本注入-前端vue、后端springboot
weixin_35952534的博客
01-15 1782
防止XSS脚本注入-前端、后端作者时间雨星辰2020-09-10xss是什么跨站脚本攻击(XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。xss脚本注入演示通过表单,先添加一个数据,其一条数据为脚本插入数据刷新页面刷新页面从截图看,注入的脚本已经执...
富文本提交数据到后台防止xss攻击
这是随心创作的博主
04-23 2362
StringEscapeUtils.unescapeHtml的使用 富文本提交数据到后台后,保存到数据库的格式可能是这样的: &lt;p&gt;【产品名称】艾酷维多种维生素锌软糖&lt;/p&gt; 我们有时候需要的是: <p>【产品名称】艾酷维多种维生素锌软糖</p> 所以就需要用到StringEscapeUtils类进行转义和反转义 public static void main(String[] args) { ...
HTML转译
03-27
在处理用户输入时,特别是在Web开发HTML转译是非常重要的安全措施,能防止跨站脚本攻击XSS)。例如,如果用户在评论输入了"<script>"这样的恶意代码,不进行转译就直接插入到页面上,那么这段脚本可能会被...
java xss转义,Java 5 HTML转义为防止XSS
weixin_31002061的博客
02-16 236
I'm looking into some XSS prevention in my Java application.I currently have custom built routines that will escape any HTML stored in the database for safe display in my jsps. However I would rather ...
html页面转译%3c,xss攻击(转) - osc_9wm81b2v的个人空间 - OSCHINA - 文开源技术交流社区...
weixin_35755562的博客
06-05 274
什么是 XSSCross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSSXSS 的本质是:恶意代码未经过滤,与网站正常的代码混在...
XSS攻击常识与防御XSS攻击
weixin_43798490的博客
09-24 987
XSS 什么是XSS攻击?如何防范XSS攻击? 什么是CSP? 跨站脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其Web里面的Scrip...
xss攻击
IABQL的博客
08-13 975
程序如何实现,写一个过滤器,拦截所有获取的参数,将特殊字符转换一下。:使用 Js 脚本语言,因为浏覧器默认支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,可能浏览直接进行执行。userName参数后面带了一个脚本参数,它打开了另一个页面,这个页面是一个高仿页面,那么就可能盗取信息。比如在评论区,如果没有做XSS防御处理,那么有人评论了一个带有javascript。像一些特殊字符,比如<、>如果不进行特殊字符处理的话,很就可能受到 XSS 攻击。脚本的评论,那么这个脚本会被浏览器解析执行。...
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1561
一、什么是XSS攻击 XSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
TML转义字符xss攻击HTML字符的转义和反转义
周陆军的博客,分享it技术。
06-25 1839
HTML常用转义字符对照表:最常用的字符实体 Character Entities、ISO 8859-1 (Latin-1)字符集、数学和希腊字母标志、重要的国际标记、JavaScript转义符、富文本通用转义字符HTML特殊转义字符对照表
xss过滤器转义和反转
那些年我们踩过的坑
01-10 7863
 apache工具包common-lang: StringEscapeUtils.escapeHtml("&lt;font&gt;测试&lt;/font&gt;") StringEscapeUtils.unescapeHtml("&amp;gt;font&amp;lt;测试&amp;gt;font&amp;lt;")                 ...
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
js html代码转译xss攻击
webmazha的博客
05-06 1891
function safeHtml(a){//转译html代码 var s=""; for(var i=0;ia.length;i++){ var arg=String(a); s=arg.replace(/&/g,"&").replace(/,"<").replace(/>/g,">"); console.log
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值