有效预防xss_防范XSS攻击

最新推荐文章于 2024-07-31 15:36:49 发布
最新推荐文章于 2024-07-31 15:36:49 发布
阅读量181 收藏
点赞数
文章标签: 有效预防xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32179749/article/details/111971550
版权

最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。

问题描述:

在页面上有个隐藏域:

当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上

如果此时action被用户恶意修改为:***""***

此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。

解决思路:

该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下:

1.在页面上对action参数做转义处理,${action?html}(前端技术采用freemarker),但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护

2.在服务端对用户数据做转义处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

public class XssRequestWrapper extends HttpServletRequestWrapper {

public XssRequestWrapper(HttpServletRequest request) {

super(request);

}

public String getParameter(String name) {

String value = super.getParameter(name);

if (value == null) {

return null;

}

return StringEscapeUtils.escapeHtml4(value);

}

public String[] getParameterValues(String name) {

String[] values = super.getParameterValues(name);

if (values == null) {

return null;

}

String[] newValues = new String[values.length];

for (int i = 0; i < values.length; i++) {

newValues[i] = StringEscapeUtils.escapeHtml4(values[i]);

}

return newValues;

}

}

XssRequestWrapper是对request进行的二次封装,最核心的作用是对request中的参数进行转义处理(需要用到commons-lang3.jar)

定义filter,核心的代码如下:

@Override

public void doFilter(ServletRequest request,

ServletResponse response,

FilterChain chain) throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest) request;

chain.doFilter(new XssRequestWrapper(req), response);

}

在web.xml中配置指定请求进行过滤,可以有效防止xss攻击

以上方法没有解决本质问题,最本质的问题就是在编写代码时严禁将页面传递的参数不做任何处理再次返回到页面!

吸奇侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS及CSRF攻击防御
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
XSS攻击防范
weixin_45221091的博客
04-21 1632
前端安全系列之XSS攻击防范 1、使用textContent 2、使用HTML转义 把JS中的标签转成字符 3、对于链接跳转 禁止含有’javascript:'开头的字符 4、标签属性中含有恶意执行代码 javascript 5、如果用户输入的文本进行过滤很容易照成注入漏洞 6、什么是XSS攻击 Cross-Site Scripting(跨站脚本攻击) 为和CSS区分所以叫XSS攻击 7、XSS攻击的本质 而已代码未经过滤,混入正常代码中,浏览器无法分辨,导致恶意代码被执行; 8、在处理输入时,
前端安全之XSS的原理和防范
我可是小老虎的博客
10-11 904
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
手摸手带你进行XSS攻击与防御
最新发布
公众号:该用户快成仙了
07-31 982
简单来说,通过设置CSP来控制浏览器加载页面时允许执行的资源来源,这样来减少XSS攻击
XSS攻击预防措施
qq_45335911的博客
09-07 6469
XSS攻击预防 结合上一篇文章知道了XSS的基本攻击方式和基本概念,这里就主要讲一下如何预防XSS的攻击。 上面是我在网上找的一个可以作为简单理解的概念图,如果不理解可以根据顺序参照理解。 预防储存型和反射型XSS攻击 存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。 预防这两种漏洞,有两种常见做法: 改成纯前端渲染,把代码和数据分隔开。 对 HTML 做充分转义。 纯前端渲染 纯前端渲染的过程: 浏览器先加载一
xss攻击如何防范详解
寂寥人生
07-09 246
xss攻击根本原因 其实就是输入内容和主要的script标签发生了混淆。 产生的主要影响 最简单的就是给你来一个alert("xx"),这样使得你页面只要有展示被xss攻击的字段内容的都会弹框,其次,高级点的它可以发送ajax到它自己服务器上,比如可以通过js获取你的cookie信息等。 解决思路 转化 就是入库前接收参数时把<>这种东西转成字符实体&gt&lt这种类型,这样浏览器就会把&gt&lt这种字符实体显示成<>,不会当作是html标签来进行解
有效预防xss_预防XSS攻击的一些方法整理
weixin_29069575的博客
01-17 3082
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。常见...
java 预防XSS攻击
08-23
本文将深入探讨如何在Java后端进行预防XSS攻击的策略。 1. **理解XSS类型**: - **存储型XSS**:攻击者的脚本被存储在服务器上,如论坛帖子、评论等,当其他用户访问这些内容时,恶意脚本会被执行。 - **反射型...
xss_talk:我的XSS演讲的幻灯片和演示应用程序
05-22
这个演示旨在帮助观众理解XSS攻击的工作原理,以及如何通过实际操作来预防这类攻击。幻灯片采用专业设计,以清晰、直观的方式呈现了XSS的基本概念和分类。演示应用程序则是基于PHP构建的,它模拟了真实环境中可能...
vue 如何防止xss攻击 框架_前端防范xss攻击的实用方案
weixin_39848970的博客
12-22 5399
一、xss攻击原理大家想必都听过xss攻击,那么这个xss到底是如何攻击、我们又应该如何防范的呢?xss攻击主要是针对表单的input文本框发起的,比如有这样一个文本框:xss攻击图1在说明一栏填入一段js代码,如果前端不进行过滤直接提交到后端(比如php),而php端也没有进行过滤直接入库,那么在下一个展示页面,就会发生这样的情况:xss攻击图2为什么会酱紫呢?因为我们在说明这一栏的input,...
OWASP ESAPI 预防XSS跨站脚本攻击_xss攻击引入esapi,2024年最新程序员必会知识
2301_77110912的博客
04-10 1133
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
防范XSS攻击
wuxing164的博客
04-24 378
不要相信用户的任何输入,并过滤掉输入中的所有特殊字符。这样就能消灭绝大部分的 XSS 攻击 使用htmlentities过滤用户输入的数据 如: $searchQuery = $_GET['q']; $searchQuery = htmlentities($searchQuery, ENT_QUOTES); ...
XSS如何防范
qq_45803050的博客
11-27 8235
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者
XSS攻击防范
橘猫吃不胖的博客
02-06 1234
XSS攻击防范 1 什么是XSS 2 XSS类型 2.1 反射型XSS 2.2 存储型XSS 2.3 DOM型XSS 3 怎么预防XSS 3.1 纯前端渲染 3.2 转义HTML 3.3 关注高危API 3.4 其他措施
XSS防范
清风的专栏
03-17 1233
么是跨站脚本(CSS/XSS)?我们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该 <br /> 页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行, <br /> 有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,这很容易让人困惑, <br /> 如果 <br /> 你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。 <br /><br /><br /> XSS和脚本注射的区别? <br /><br /> 原文
如何防止XSS攻击
半夏_2021的博客
05-05 6419
如何防止XSS攻击
前端安全系列(一):如何防止XSS攻击
qq_53058639的博客
07-01 1317
Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
XSS***防范
weixin_33920401的博客
03-06 294
背景今天突然接到公司安全部门发来的邮件。说:网站有XSS注入***漏洞,得修复一下。之前也只是对这个有个概念上的理解,知道XSS有反射型XSS、存储型XSS和DOM型XSS。对它到底会造成什么破坏还是没有什么理解。直到这次安全部门发来了我登录我们后台的cookie,我才明白了这个***好牛逼。他们用的是存储型的XSS,把它们的坏脚本直接植入到了我们的数据库里去了,后台审核他们...
深入理解XSS攻击:原理与防范
"XSS攻击详解及预防策略" XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它利用网站对用户输入的处理不当,允许攻击者注入可执行的脚本代码,进而影响其他用户的安全。这种攻击方式的核心在于,攻击者能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值