使用encode方法防止XSS攻击

最新推荐文章于 2023-05-01 07:55:52 发布
最新推荐文章于 2023-05-01 07:55:52 发布
阅读量1.9k 收藏 4
点赞数 1
分类专栏: 前端 文章标签: 字符串 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44030791/article/details/118940971
版权

防御XSS攻击-encode用户输入内容的重要性

一、什么是xss

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

二、举例说明
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge"/>
<title>encode防止xss攻击</title>
</head>
<body>
	<input type="text" id="myInput" />
	<button οnclick="toSubmit();">提交</button>
   	<p id="myText" class="demo">hello world!</p>

   	<script type="text/javascript">
   		function toSubmit(){
   			var myText = document.getElementById("myText"),
   				myInput = document.getElementById("myInput"),
   				inputValue = myInput.value;

   			myText.innerHTML = inputValue;
   		}

   	</script>
</body>
</html>

在这里插入图片描述
实例解释:这是网站生产环境抽离出来的简化代码。在公司的产品中,有很多输入框提供给用户输入一些自定义字符串。方便用户的同时,也会招惹一些黑客过来捣乱。最简单的就是xss注入攻击。
比如上面的实例,我在输入框直接输入内容 <h1> wall </h1>得到的结果如下:
在这里插入图片描述
在这里插入图片描述
这种结果,肯定不是产品所想要的。
进一步鼓捣测试,输入内容 <script>alert('wall');</script>
在这里插入图片描述
在这里插入图片描述
如果这段字符串是保存在数据库里。那么下次用户刷新这个页面,alert方法将会被执行,也就是会弹出 wall 这个信息。
因为能插入js代码,那这个想象空间就很大了,几乎很多事都能干。
最简单的就是用js获取访问当前网站的用户的document.cookie,然后ajax发送到信息收集网站,那么用户就等于在裸泳了。

三、解决办法
对字符串进行转义在输出

1、在存储进数据库的时候,对字符串进行encode
这种方式可以解决一部分问题,但是不够灵活。因为字符串有可能输出在html,也有可能输出在JavaScript代码中
2、在使用字符串的时候进行encode
这种方式是根据使用场景,在前端输出时,按需求进行encode,灵活应对

四、使用encode方法
  return html && html.replace ? 
    (
      html.replace(/&/g, "&amp;") //转换&符号
      .replace(/ /g, "&nbsp;") // 转换空格
      .replace(/\b&nbsp;+/g, " ") // 转换多个空格为单个空格
      .replace(/</g, "&lt;") // 转换小于符号
      .replace(/>/g, "&gt;") // 转换大于符号
      .replace(/\\/g, "&#92;") // 转换斜杠符号
      .replace(/\'/g, "&#39;") // 转换单引号
      .replace(/\"/g, "&quot;") // 转换双引号
      .replace(/\n/g, "<br/>") // 转换换行符号
      .replace(/\r/g, "") //转换回车符号
    )
    : html;
}

代码的作用是把对应的特殊符号,转换为转义字符,而不是直接插入html中。
这样,不管用户输入什么内容,都可以直接转换成字符串输出在html中。
比如再次输入内容 <script>alert('wall');</script>,得到的结果如下:
在这里插入图片描述
这样就可以防止xss攻击了

五、转义字符

在这里插入图片描述

最后附上完整的代码
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge"/>
<title>encode防止xss攻击</title>
</head>
<body>
    <input type="text" id="myInput" />
    <button οnclick="toSubmit();">提交</button>
       <p id="myText" class="demo">hello world!</p>

       <script type="text/javascript">
           function toSubmit(){
               var myText = document.getElementById("myText"),
                   myInput = document.getElementById("myInput"),
                   inputValue = myInput.value;
               myText.innerHTML = encodeHtml(inputValue);
           }
           function encodeHtml(html){
            return html && html.replace ? 
              (
                html.replace(/&/g, "&amp;") //转换&符号
                .replace(/ /g, "&nbsp;") // 转换空格
                .replace(/\b&nbsp;+/g, " ") // 转换多个空格为单个空格
                .replace(/</g, "&lt;") // 转换小于符号
                .replace(/>/g, "&gt;") // 转换大于符号
                .replace(/\\/g, "&#92;") // 转换斜杠符号
                .replace(/\'/g, "&#39;") // 转换单引号
                .replace(/\"/g, "&quot;") // 转换双引号
                .replace(/\n/g, "<br/>") // 转换换行符号
                .replace(/\r/g, "") //转换回车符号
              )
              : html;
           }
       </script>
</body>
</html>
张木木爱熬夜
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止sql注入相关函数addslashes,htmlspecialchars ,mysqli_real_escape_string分析与区别
河北强商网络科技有限公司官方博客
04-03 751
一.addslashes作为防止sql注入函数分析 转义单引号,双引号,反斜线,null 1.首先对于含有单引号双引号的表单字符,如果不加反斜线转义,直接拼凑sql可能报错,如表单为xiao'ping,拼凑select * form user where name='xiao'ping',可见该表单中的单引号会被视为字符串的定界符,从而报语法错误。正确的是假addslashes之后的结果sele...
HtmlEncode和JavaScriptEncode(预防XSS
weixin_34194702的博客
02-24 152
在数据添加到DOM时候,我们可以需要对内容进行HtmlEncode或JavaScriptEncode,以预防XSS攻击。 JavaScriptEncode 使用“\”对特殊字符进行转义,除数字字母之外,小于127的字符编码使用16进制“\xHH”的方式进行编码,大于用unicode(非常严格模式)。 //使用“\”对特殊字符进行转义,除数字字母之外,小于127使用16进制“\xH...
Zynga将Cocos2D-X移植到Emscripten
CSDN与《程序员》总编观察
05-17 547
Emscripten是Mozilla的一个新项目,通过LLVM将C++转换为JavaScript,从而可以直接在浏览器里跑C++代码。另外,也将OpenGL转换为WebGL。详情参见Zynga的工程博客:http://code.zynga.com/2013/05/zynga-ports-cocos2d-x-to-emscripten/HN上的讨论:https://news.ycombinator....
前端参数加密常见的几种方法,以及防止xss脚本攻击
summer_Eye的博客
11-16 2849
前端参数加密常见的几种方法,以及防止xss脚本攻击
XSS防范之Encode(转)
weixin_30631587的博客
03-31 297
防范XSS有三道防火墙:数据的输入校验,数据输出Encode,浏览器安全(主要就是CSP),这里主要介绍Encode。 #用于XSS防范的Encode 用户防范XSSEncode主要有三种:HtmlEncode,javascriptEncode,urlEncode。每种encode都有不同的使用场景。 #HtmlEncode HtmlEncode将一些字符编码为h...
统一处理用户提交的参数,防XSS攻击与SQL注入
qq_20094173的博客
05-25 596
package com.sf.membs.context; import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletReque
XssEncode
weixin_33674976的博客
01-24 225
0x00 闲扯 好吧继上一篇文章之后,就没发文章了!(其实是一直在写但是写的很少还凑不起一篇文章而已) 但是这几天对插件进行了一定的改良了 因为在自己在实际的XSS过程中也发现了自己的插件 还不够强大! 不能够百分之百的满足自己的需求!所以就根据自己平常的需求给加了上去! 我想做到玩XSS一个工具即可解决需求!所以感觉即使是现在的插件也还有很大的不足! 所以很希望得到你们的意见 ...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
XSS Encode
03-11
**XSS Encode 知识详解** ...综上所述,XSS Encode防止XSS攻击的关键技术,通过正确编码和防御策略,可以显著提高网站的安全性。同时,理解和使用Xsser等工具,有助于更好地进行安全测试和漏洞排查。
XSS攻击实例1
01-11
Asp.net是一个由Microsoft开发的开源Web应用程序框架,它提供了丰富的功能和安全性机制来防止XSS攻击。在VS2010环境下,开发者可以利用内置的安全特性来构建更安全的应用。 1. 防止反射型XSS使用ASP.NET的...
xssEncode swf
01-11
XSS编码是防止XSS攻击的一种策略,它涉及到将特殊字符转换为HTML实体或URL编码,使得这些字符在网页上显示时不会被解释为JavaScript代码。例如,将"编码为"<",防止其被识别为HTML标签的开始。XSS编码可以应用于...
JAVA防止XSS注入,附jar包
05-19
本篇文章将深入探讨如何使用Java来防御XSS攻击,并介绍提供的jar包以及如何应用它们。 首先,了解XSS攻击的基本原理。XSS攻击通常发生在Web应用中,当用户输入的数据未经适当验证和转义就被直接显示在其他用户...
StringEscapeUtils
天道酬勤
01-16 2361
org.apache.commons.lang.StringEscapeUtils 类可以对js sql html xml等代码进行转义!用来处理前端js注入代码 SQL特殊字符转义   应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安...
防SQL注入的常用方法有哪些呢?方法总结
2301_76418831的博客
05-01 2323
对输入数据进行过滤和验证,确保用户提供的数据符合预期的格式和类型。例如,可以使用正则表达式对输入数据进行验证,确保其只包含允许的字符。这些方法可以将SQL语句和用户提供的输入数据分开处理,从而防止恶意注入SQL代码。这个方法可以将输入数据中的特殊字符转义成其转义字符,从而防止这些字符被误解释为SQL代码。应该为每个用户分配最小的权限,只允许其执行必要的操作,从而降低恶意注入SQL代码的风险。总之,防止SQL注入攻击需要在应用程序设计和开发过程中采取一系列安全措施,保障Web应用程序的安全性。
Web安全之XSS攻击
m0_74131821的博客
04-05 403
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞
xss攻击原理与解决方法html编码,XSS攻击处理(示例代码)
weixin_31201737的博客
05-31 5287
1、什么是XSS攻击XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞。漏洞的厉害取决于攻击代码的能力。2、XSS攻击常见危害...
防御XSS的七条原则
收集盒 Book box
09-06 1016
前言 author: shineforyou 本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为没有办法知道这段脚本是不可信的,所以依
cocos跨平台不同操作系统宏定义
愤怒的小江哥-移动游戏专栏
12-30 1326
目录cocos跨平台不同的操作系统宏定义在代码中的使用 cocos跨平台不同的操作系统宏定义 cocos中判断当前系统是哪个平台是 CC_TARGET_PLATFORM来判断的, 在CCPlatformConfig.h中,对CC_TARGET_PLATFORM进行的定义如下。 // define supported target platform macro which CC uses. 定义c...
htmlencode()在抵抗XSS攻击时的作用
最新发布
06-07
HTML编码是一种常用的防御XSS攻击方法之一,它可以将特殊字符(如<、>、&、'、"等)转换为它们对应的HTML实体,从而防止浏览器将它们解析为HTML标记或JavaScript代码。 具体而言,HTML编码可以通过调用htmlencode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值