SSI的介绍及语法

最新推荐文章于 2024-08-13 20:57:25 发布
最新推荐文章于 2024-08-13 20:57:25 发布
阅读量244 收藏 6
点赞数 3
分类专栏: 前端 文章标签: html 前端 ssi 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39762423/article/details/141166759
版权

目录


1. 介绍


SSI:Server Side Includes,服务器端包含。

SSI是前乳HTML页面中的指令,在页面被提供时,由服务器进行运算,以对现有html页面增加动态生成的内容,而无需通过CGI程序提供整个页面,或者使用其他动态技术。

从技术角度上,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或者远程执行任意代码。



2. 配置使用


2.1 启用SSI


  1. apache

    默认apache不开启SSI,SSI这种技术很少使用了。如果应用中没有用到SSI,关闭服务器对SSI的支持就可以。

  2. IIS

    IIS也可以开启SSI功能。

  3. Nginx

    在http段加入下面内容:

    ssi on;
ssi_silent_errors off;
ssi_types text/shtml;


2.2 SSI语法


SHTML文件:

在SHTML文件中使用SSI指令(#incldue)引用其他的HTML文件,此时服务器会将SHTML中包含的SSI指令解释,再传送给客户端。此时的HTML中就不再含有SSI指令了。

  1. <#echo>:显示服务器端环境变量
    1. 本文档名称:<!--#echo var="DOCUMENT_NAME"-->
    2. 现在时间:<!--#echo var="DATE_LOCAL"-->
    3. 显示IP地址:<! #echo var="REMOTE_ADDR"-->
  2. <#include>:将文本内容直接插入到文档中
    1. file包含文件:<!--#include file="文件名称"-->
    2. virtual包含文件:<!--#include virtual="文件名称”-->
    3. file包含文件可以再同一级目录或者其子目录中,但是不能在上一级目录中;virtual包含文件可以是web站点上的虚拟目录的完整路径。
  3. 显示web文档相关信息
    1. 文件最近更新日期:<!--#flastmod file="文件名称"-->
    2. 文件的长度:<!--#fsize file="文件名称"–--
  4. <#exec>:直接执行服务器上的各种程序
    1. 其他可执行程序:<!--#exec cmd="cat /etc/passd"-->
    2. CGI:<!--#exec cgi="/cgi-bin/access_log.cgi"-->
    3. 将某一个外部程序的输出插入到页面中,可以插入CGI程序或者是常规应用程序的输入,这取决于参数是cmd还是cgi。



3. SSI注入


SSI注入的条件:

  1. web服务器支持SSI。
  2. web应用程序未对相关SSI关键字做过滤。
  3. web应用程序在返回响应的HTML页面时,嵌入用户输入。

漏洞场景:

在很多业务中,用户输入的内容会展示在页面中。

比如:一个存在反射型XSS漏洞的页面,如果输入的payload不是xss代码,而是SSI的标签,同事服务器又开启了对SSI的支持的话,就会存在SSI漏洞。



RrEeSsEeTt
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssi 整合 及 jar包
03-26
标题 "SSI 整合及 JAR 包" 暗示了这个话题是关于服务器端包含(Server Side Include,简称 SSI)技术与 Java 应用程序中的 JAR(Java Archive)包整合的过程。SSI 是一种早期的 web 开发技术,允许在静态 HTML 页面...
SSI.zip_SSI
09-19
**SSI基本语法** 1. `<!--#include virtual="filename"-->`:这可能是最常用的SSI指令,用于包含服务器上的文件。`virtual`参数指定要包含的文件的URL路径。 2. `<!--#include file="filename"-->`:与上一个类似,...
ssi基本语法
JarryLiu 的专栏
04-08 444
SSI语法 SSI在使用时遵循以下格式: $#@60;!--#directive parameter="value"--$#@62;   其中,directive是向服务器发送的指令名称,parameter是指令的操作对象,而value则是用户希望得到的指令处理结果。   所有的SSI命令都是以“$#@60;!--#”开始,其中“$#@60;!—”和“#”之间不能有任何空格,否则服务器会把
HTML语言SSI指令语法
蜗牛不会跑
05-08 1175
SSI有什么用? 之所以要扯到ssi,是因爲shtml--server-parsed HTML 的首字母缩略词。包含有嵌入式服务器方包含命令的 HTML 文本。在被传送给浏览器之前,服务器会对 SHTML 文档进行完全地读取、分析以及修改。shtml和asp 有一些相似,以shtml命名的文件里,使用了ssi的一些指令,就像asp中的指令,你可以在SHTML文件中写入SSI指令,当客户端访问这些s...
SSI 指令语法详细
pavel0的专栏
10-30 350
  SSI被称为“服务器端包含”或“服务器端嵌入”技术。是一种基于服务器端的网页制作技术。 shtml文件就是应用了SSI技术的html文件 SSI工作原理因为是基于服务器端的网页制作技术,所以在.shtml页面返回到客户端前,页面中的SSI指令将被服务器解析。可以使用SSI指令将其它文件、图片包含在页面中,也可以将其它的CGI程序包含在页面中,如.aspx文件。在给客户端返回的页面中不会...
ssi 指令 php,SSI 漏洞学习笔记
weixin_39973518的博客
03-10 316
0x01 SSI (Server Side Includes)SSI (Server Side Include),是一种简单的服务器端解释性脚本语言。通过使用 #include 指令将一个或多个文件内容包含到web服务器上的网页中。SSI 还包含了具有条件特征和调用外部程序的控制指令。它被 Apache , LiteSpeed , Nginx , IIS 以及 W3C 的 Jigsaw 所支持。而...
nginx下使用SSI
无他,唯程序尔
11-25 984
主要内容什么是SSInginx开启SSISSI常用命令SSI获取并使用查询参数在页面文件中获取在nginx的配置文件中设置使用参数 什么是SSI SSI:Server Side Include,是一种基于服务端的网页制作技术。它的工作原理是:在页面内容发送到客户端之前,使用SSI指令将文本、图片或代码信息包含到网页中。对于在多个文件中重复出现内容,使用SSI是一种简便的方法,将内容存入一个包含文件...
转: Apache SSI详解及应用
dayanwu2842的博客
04-15 245
转: Apache SSI详解及应用 什么是 SSISSI(Server Side Includes),是嵌套在 HTML 网页中的指示语句,由后台服务器进行代码的解释计算。使用 SSI 可以动态的创建一部分网页内容而不需要编写复杂的 JSP/ASP/PHP 等程序。SSI 是如此的小巧以至于不应算作一门语言,因为他远没有JSP/ASP/PHP 等程序那么复杂,只有一些极其有限的语法...
nginx ssi合并html
maquealone的博客
03-01 625
前言 开发网站的过程中,我们通常会把详情页等做静态化处理,这样会大大的提高访问速率。特别是很多cms系统,默认都支持生成静态页。但是,静态页方案有个比较尴尬的问题,就是当网站头部或者底部做更改的时候,哪怕是很小的更改,只改一个字,我们也需要重新生成所有的静态页,这对于数据量稍微大点的系统是个灾难。 幸好,nginx ssi解决了这个问题。 什么是nginx ssi Server Side ...
ssi 指令 php,SSI使用详解_PHP教程
weixin_42515313的博客
03-10 155
你是否曾经或正在为如何能够在最短的时间内完成对一个包含上千个页面的网站的修改而苦恼?那么可以看一下本文的介绍,或许能够对你有所帮助。什么是SSISSI是英文Server Side Includes的缩写,翻译成中文就是服务器端包含的意思。从技术角度上说,SSI就是HTML文件中,可以通过注释行调用的命令或指针。SSI 具有强大的功能,只要使用一条简单的SSI 命令就可以实现整个网站的内容更新,动...
SSI介绍
weixin_30519071的博客
07-10 146
SSI(Server Side Include),通常称为服务器端嵌入,是一种类似于ASP的基于服务器的网页制作技术。大多数(尤其是基于Unix平台)的WEB服务器如Netscape Enterprise Server等均支持SSI命令。   SSI工作原理:   将内容发送到浏览器之前,可以使用“服务器端包含 (SSI)”指令将文本、图形或应用程序信息包含到网页中。例如...
SSI.zip_SSI_SSI Injection代码
09-22
**SSI基本语法** 1. `<!--#include virtual="path" -->`:虚拟路径包含,这里的"path"是相对于服务器根目录的路径,常用于包含其他HTML文件或服务器上的文本文件。 2. `<!--#include file="path" -->`:本地路径...
【python】使用字符串格式化渲染html
最新发布
longforone的博客
08-13 376
将 CSS 中的“{}”全部替换为“{{}}”,这种方法是可行的。在 Python 进行字符串格式化时,“{{}}”中的“{}”及其他内容会被当作普通字符串处理,不会被格式化。但当我开启 PyCharm 的代码格式化功能时,原本的“{{}}”会被转换为“{\n{ }\n}”,因此使用起来较为麻烦,甚至不太能用。然而,由于 HTML 模板中存在 CSS 样式,其“{}”语法与 Python 格式化字符串的语法产生了冲突。接着,针对“body”部分使用关键字参数进行字符串格式化,如此一来,看起来也更为直观。
html超文本标记语言 (HyperText Mark up Language)
2302_78076476的博客
08-10 276
HTML(超文本标记语言)是构建网页的标准标记语言。它为网页提供结构和内容,允许开发者创建各种元素,比如文本、图像、链接、表格和表单等。是网页的基本骨架。
前端HTML + CSS)小兔鲜儿项目(仿)
li3123537691的博客
08-09 534
这是一个简单的商城网站,代码部分为HTML + CSS 和少量JS代码。
最新HTML设计搜索表单
业精于勤荒于嬉,行成于思毁于随
08-10 419
页眉中包含表单,表单中只需包含label和Input.
Vue3 Suspense 和 defineAsyncComponent 结合使用方法
qq_30193097的博客
08-13 139
定义一个异步组件,它在运行时是懒加载的。参数可以是一个异步加载函数,或是对加载行为进行更具体定制的一个选项对象。用于协调对组件树中嵌套的异步依赖的处理。上述案例可以实现大型项目的骨架屏效果。
ASP.NET Core Web API 使用Autofac框架
鲤籽鲲的博客
08-08 539
ASP.NET Core Web API 使用Autofac框架
lwip实现web ssi、cgi get
07-30
在网页中使用特定语法标记要替换的动态内容,例如:<!--#include "dynamic.html"-->。 c. 当客户端请求带有包含指令的网页时,HTTP 服务器将解析并处理这些指令,并将动态内容替换到网页中,最后返回给客户端。 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值