html注入

最新推荐文章于 2024-05-09 14:46:30 发布
最新推荐文章于 2024-05-09 14:46:30 发布
阅读量732 收藏
点赞数
分类专栏: .net 文章标签: html注入

转自:https://blog.csdn.net/qq_32923745/article/details/78286335
https://blog.csdn.net/qq_34357835/article/details/78601201

大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。
如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。
如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击
一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:

1
2
3
4
5
6
7
页面就会变成这样的

整个页面被整个图片覆盖掉
如果是其他的恶意攻击,是可以入侵到你的服务器然后获取到shell 。
二、解决方法:
1、前端过滤
(a)、javascript 原生方法
//转义 元素的innerHTML内容即为转义后的字符
function htmlEncode ( str ) {
var ele = document.createElement(‘span’);
ele.appendChild( document.createTextNode( str ) );
return ele.innerHTML;
}
//解析
function htmlDecode ( str ) {
var ele = document.createElement(‘span’);
ele.innerHTML = str;
return ele.textContent;
}
1
2
3
4
5
6
7
8
9
10
11
12
(b)、JQuery 方法
function htmlEncodeJQ ( str ) {
return $(’’).text( str ).html();
}

function htmlDecodeJQ ( str ) {
return $(’’).html( str ).text();
}
1
2
3
4
5
6
7
调用方法
var msg1= htmlEncodeJQ(‘’);
//结果变成:<script>alert(‘test’);</script>
1
2
3
2、后端过滤
我这里是JAVA 的,其他的另百度

(a)、java 一些框架自动工具类,
比如:org.springframework.web.util.HtmlUtils
public static void main(String[] args) {
String content = “”;
System.out.println(“content=”+content);
content = HtmlUtils.htmlEscape(content);
System.out.println(“content=”+content);
content = HtmlUtils.htmlUnescape(content);
System.out.println(“content=”+content);
}
1
2
3
4
5
6
7
8

但这样有个问题,就是它全部的html标签都不解析了。
可能这不是你想要的,你想要的是一部分解析,一部分不解析。好看下面。
(b)、自己用正则来完成你的需求
下面给你demo ,根据你自己的需求来改就好了。

package top.lrshuai.blog.util;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
*

  • @author lrshuai
  • @since 2017-10-13
  • @version 0.0.1
    /
    public class HTMLUtils {
    /    *
  • 过滤所有HTML 标签
  • @param htmlStr
  • @return
    */
    public static String filterHTMLTag(String htmlStr) {
    //定义HTML标签的正则表达式
    String reg_html="<[^>]+>";
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE);
    Matcher matcher=pattern.matcher(htmlStr);
    htmlStr=matcher.replaceAll(""); //过滤html标签
    return htmlStr;
    }

/**

  • 过滤标签,通过标签名
  • @param htmlStr
  • @param tagName
  • @return
    /
    public static String filterTagByName(String htmlStr,String tagName) {
    String reg_html="<"+tagName+"[^>]    ?>[\s\S]*?<\/"+tagName+">";
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE);
    Matcher matcher=pattern.matcher(htmlStr);
    htmlStr=matcher.replaceAll(""); //过滤html标签
    return htmlStr;
    }

/**

  • 过滤标签上的 style 样式
  • @param htmlStr
  • @return
    /
    public static String filterHTMLTagInStyle(String htmlStr) {
    String reg_html=“style=(’|”)(.    ?)(’|")";
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE);
    Matcher matcher=pattern.matcher(htmlStr);
    htmlStr=matcher.replaceAll(""); //过滤html标签
    return htmlStr;
    }

/**

  • 替换表情

  • @param htmlStr

  • @param tagName

  • @return
    */
    public static String replayFace(String htmlStr) {
    String reg_html="\[em_\d{1,}\]";
    Pattern pattern =Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE);
    Matcher matcher=pattern.matcher(htmlStr);
    if(matcher.find()) {
    matcher.reset();
    while(matcher.find()) {
    String num = matcher.group(0);
    String number=num.substring(num.lastIndexOf(’_’)+1, num.length()-1);
    htmlStr = htmlStr.replace(num, “”);
    }
    }
    return htmlStr;
    }

    public static void main(String[] args) {
    String html = “

    ”;
    System.out.println(“html=”+html);
    html = HTMLUtils.filterTagByName(html, “style”);
    System.out.println(“html=”+html);
    html = HTMLUtils.filterTagByName(html, “script”);
    System.out.println(“html=”+html);
    html = HTMLUtils.filterHTMLTagInStyle(html);
    System.out.println(“html=”+html);
    }

}

下班了,哪天有空再补充
参考自: http://blog.csdn.net/taoerchun/article/details/50778799
正文到此结束,谢谢观看,觉得有用,点个赞可好!!!
博客:http://www.lrshuai.top/blog

在编写代码中,如何防止html注入?我们可以把输入的html便签转换为空字符串

var content=$("#content").val();

//防止html注入,标签转空字符串

var content1=content.replace(/<[^<>]+?>/g,’’);

也可以把html标签直接转码

//HTML标签转码

function html2Escape(sHtml) {

return sHtml.replace(/[<>&"]/g,function©{

return {

       '<':'&lt;','>':'&gt;','&':'&amp;','"':'&quot;'

        }[c];

});

}

作者:壁花girl
来源:CSDN
原文:https://blog.csdn.net/qq_34357835/article/details/78601201
版权声明:本文为博主原创文章,转载请附上博文链接!

花吴依晨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XML、HTML注入和越权问题处理
LBJ_155207的博客
09-27 1011
原理:越权主要分为垂直越权和水平越权,垂直越权是指当一个普通用户使用管理员的信息能够获取到不属于自己权限内的信息。水平越权是指都是普通用户,但是不同部门不同组,却可以通过接口获取其他人的信息。处理:我们此次主要采用的是引入Security 框架,通过@PreAuthorize注解和自定义权限认证方法去进行接口管控(此方法主要用于水平越权)。使用的是antisamy-ebay.xml文件。使用方法:在接口层次上加 @PreAuthorize(“@pms.hasPermission(‘自定义的权限值’)”)
HTML注入综合指南
systemino的博客
08-17 1531
HTML”被视为每个Web应用程序的框架,因为它定义了托管内容的结构和完整状态。那么,您是否想过,是否用一些简单的脚本破坏了这种解剖结构?还是这种结构本身成为Web应用程序损坏的原因?今天,在本文中,我们将学习如何配置错误的HTML代码,从用户那里获取敏感数据。 什么是HTMLHTML称为超文本标记语言,是一种标识性的语言。它包括一系列标签.通过这些标签可以将网络上的文档格式统一,使分散的Internet资源连接为一个逻辑整体。HTML文本是由HTML命令组成的描述性文本,HTML命令可以说明文
网络安全-靶机dvwa之XSS注入Low到High详解(含代码分析)_dvwa xss注入
最新发布
2401_84264662的博客
05-09 260
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。在这之前我们已经按了F12,查看了源代码,其实除了存储型,DOM和反射都没什么意思,因为可以F12直接查看,对其他用户也没什么攻击性。,这似乎提醒着我们可以在锚点后注入(《CTF特训营 P28页也提到了锚点》),这样就不会传到服务器了。Name有长度限制,Message注入失败,应该是Name可以注入,但是被限制了。----------------写完后面的反射型,我又回来了---------------我也不知道怎么干了。
Web Hacking 101 中文版 五、HTML 注入
热门推荐
龙哥盟
03-17 4万+
五、HTML 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述超文本标记语言(HTML注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通常通过一些之后会呈现在页面的表单输入。 这个
html页面注入教程,html注入的入门教程
weixin_35941591的博客
06-03 1518
HTML injection的背景:1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢?2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么?什么是HTML injection:有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML文件里还是会用到一些javascrip...
防止sql, htm注入
weixin_30906671的博客
11-04 44
#region 防止代碼注入 /// <summary> /// 防止HTML代碼注入 /// </summary> /// <param name="NoteContent"></param> /// <returns></returns> public string ExchangeNote(string No...
注入攻击(二)--------HTML(有源码)
Young12138的博客
05-10 1437
html注入攻击
Html-Injection:简单HTML注入扫描程序
04-19
HTML注入扫描器免责声明:此项目是出于教育目的而创建的,不应在没有法律限制的环境中使用。 描述: 用于Web应用程序的简单HTML注入扫描程序,旨在进行自动测试。 Git克隆: git clone ...
Inject:从外部来源将html注入您的网站-html source website
03-24
一个javascript文件,它将从其他网页提取html,并将该html注入到您的文档中,类似于iframe。 我什么时候使用这个? 如果您想控制要导入到网页中的html,则iframe不能与父级CSS和javascript很好地配合使用。 例如,...
infuse.host:将HTML注入动态内容
02-06
Infuse.host允许您将HTML模板注入动态内容。 然后可以将生成的并入HTML片段添加到主机元素。 这是通过在HTML模板中编写或来完成的。 它还允许您: 编写,与通常编写的方式相同(使用),但是可以访问host和其他变量...
浅谈html转义及防止javascript注入攻击的方法
10-20
HTML转义与防止JavaScript注入攻击是网络安全中的重要概念,尤其是在Web开发中。本文将详细讲解这两个主题,以帮助开发者理解它们的重要性并采取必要的防护措施。 **HTML转义** HTML转义是一种将特殊字符转换为...
深析基于元素剥离的多种html注入实现Attack以及浅析防范措施
03-02
1、我这里说的HTML注入并不是什么伪静态注入,而是通过向浏览器插入额外的字段代码,混入其他的登陆表单中,从而让用户看起来额外的代码是合法的,一种说白了就是窃取一切用户信息的手段。类似行为的比如Zeus、...
关于HTML 代码注入,XSS攻击问题解决
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
html注入解决办法记录
yaoliuqing的专栏
10-30 517
1:function _strReplace(content){ if(typeof(content)=='undefined'||content==''){ return ""; } content = content.replace(new RegExp(" content = content.replace(new RegExp(">","g"),">") ; return
HTML注入
donghaima的专栏
04-02 1625
默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和保留字符.这可以防止用户向程序中输入脚本.请求验证会对照一个有潜在威胁的字符串列表进行匹配,如果发现异常它会抛出一个HttpRequestValidationException类型的异常.你可以在你的web.config文件中的元素中加入validateRequest="false" 或在单独的页面的@
加入html 标签的注入,javascript – 如何将一串HTML注入元素?
weixin_32252533的博客
06-25 477
最佳方案注入方法如下所示:inject: function(element, location) {var el = Elements.from(this);if($type(el) === 'array') var el = el.reverse();return el.inject(element, location);}让我们把它分成几部分.1)Elements.from(this)将采用应...
HTML注入专精整理
墨痕诉清风的博客
03-08 1201
HTML注入是一种漏洞,一种网络攻击方式,当网页无法清理用户提供的输入或验证输出时,攻击者就可以伪造自己的有效负载,并通过易受攻击的字段将恶意HTML代码注入应用程序,从而修改网页内容,甚至获取一些敏感数据。HTML注入(Hypertext Markup Language Injection)中文意思是“超文本标记性语言注入”,众所周知HTML含有各种标签,如果Web应用程序对用户输入的数据没进行彻底的处理的话,那么一些非法用户提交的数据可能含有HTML其他标签,而这些数据又恰好被。
Web渗透(二)HTML注入知识整理
weixin_39157582的博客
08-23 5702
HTML注入知识整理1、什么是HTML注入2、HTML注入类型3、漏洞挖掘4、修复建议 1、什么是HTML注入 HTML注入有时也被称为虚拟污染。这实际是一个由站点造成的攻击,该站点允许恶意用户向其Web页面注入HTML,并且没有合理处理用户输入。换句话说,HTML注入漏洞是由网站接收HTML引起的,一般出现在网站页面的表单输入。 由于HTML是用于定义网页结构的语言,如果攻击者可以注入HTML,它们基本上可以改变浏览器呈现的内容。有时,这可能会导致页面外观的完全改变,或在其他情况下,创建表单来欺骗用户。例
防止html注入
wangxuewei111的专栏
06-14 4213
1.防止html注入 背景:提交订单时测试数据通常会有html标签,例如名称字段:名称,这样对于查询再显示出来会有问题,因此需要对html代码进行转义 (1)后台转义 String s = HtmlUtils.htmlEscape("hello world "); //转义 System.out.println(s); String s2 = HtmlUtils.htmlUnescap
java 防html注入
06-08
要防止 HTML 注入,可以使用 Java 提供的 org.owasp.encoder.Encode 类。该类提供了一些静态方法,可以对输入的文本进行 HTML 编码,从而防止 HTML 注入攻击。 下面是一个例子,演示如何使用 Encode 类对输入的文本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值