XSS 简介 及 如何防御

最新推荐文章于 2023-09-05 01:37:09 发布
最新推荐文章于 2023-09-05 01:37:09 发布
阅读量371 收藏
点赞数
分类专栏: 其他 文章标签: xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/your_is_my_god/article/details/120905573
版权

XSS(Cross Site Scripting,跨站脚本攻击)

XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。

运行预期之外的脚本带来的后果有很多中,可能只是简单的恶作剧——一个关不掉的窗口:

  while (true) {
      alert("你关不掉我~");
  }

也可以是盗号或者其他未授权的操作。

XSS 是实现 CSRF 的诸多途径中的一条,但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF。

如何防御 XSS 攻击?

理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。防御 XSS 攻击最简单直接的方法,就是过滤用户的输入

如果不需要用户输入 HTML,可以直接对用户的输入进行 HTML escape 。下面一小段脚本:

  <script>window.location.href=”http://www.baidu.com”;</script>

经过 escape 之后就成了:

  &lt;script&gt;window.location.href=&quot;http://www.baidu.com&quot;&lt;/script&gt;

它现在会像普通文本一样显示出来,变得无毒无害,不能执行了。

当我们需要用户输入 HTML 的时候,需要对用户输入的内容做更加小心细致的处理。仅仅粗暴地去掉 script 标签是没有用的,任何一个合法 HTML 标签都可以添加 onclick 一类的事件属性来执行 JavaScript。更好的方法可能是,将用户的输入使用 HTML 解析库进行解析,获取其中的数据。然后根据用户原有的标签属性,重新构建 HTML 元素树。构建的过程中,所有的标签、属性都只从白名单中拿取。

Your_is_my_God
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞原理及防御方式
GL的博客
03-07 4156
XSS漏洞 Cross Sitescript跨站脚本攻击,客户端脚本安全中的头号大敌 XSS攻击:(需要具备两个条件) 1、需要向WEB页面注入恶意代码 2、这些恶意代码能够被浏览器成功执行 XSS攻击类型: 1、反射攻击 用户输入的数据反射给浏览器,这个数据可能是Html代码或者Js代码,反射给浏览器去执行 2、存储型攻击 用户把输入的数据(比较恶意的JS代码)储存在服务器端,具有很强的稳定性,危害时间长 XSS危害: 1、 劫持Cookie,cookie一般保存了用户
XXS框架攻击和SQL注入
qq_49085383的博客
11-29 4142
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户端浏览器。 实验环境搭建。 角色
如何防御XSS攻击
todarkness的博客
07-14 789
XSS(CrossSiteScripting,跨站脚本攻击) xss全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有JavaScript的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。 运行预期之外的脚本带来的后果有很多中,可能只是简单的恶作剧————一个关不掉的窗口: 也可以盗号或者其他未授权的操作。 Xss是实现CSRF的诸多途径中的一...
防止xxs攻击
祁_z
08-23 5987
xxs攻击描述 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击的条件 XSS攻击需要具备两个条......
XSS 防御方法总结
一起记录GIS学习
07-21 4568
1.XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用户访问网页时在其浏览器中进行执行。攻击者通过插入的脚本的执行,来获得用户的信息,比如cookie,发送到攻击者自.
XSS攻击及防御(简单易懂)
liu_chenglong的博客
11-10 6985
翻译过来就是跨站脚本。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
XSS跨站脚本gj剖析与防御.pdf
05-13
XSS跨站脚本攻击剖析与防御》,完整版本。作者:邱永华,出版社:人民邮电出版社,ISBN:9787115311047,PDF 格式,扫描版,大小 67MB。本资源带有PDF书签,方便读者朋友阅读。 内容简介: 《XSS跨站脚本攻击剖析...
【ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
一、XSS 攻击简介 XSS 攻击全称为跨站脚本攻击,它是一种在 Web 应用中的计算机安全漏洞。XSS 攻击允许恶意用户将代码植入到提供给其他用户使用的页面中,从而导致安全漏洞。 二、使用 HtmlSanitizer 库防御 XSS ...
SpringBoot整合XSS.zip
04-30
1. **XSS攻击简介**:XSS(Cross Site Scripting)是一种常见的网络攻击方式,攻击者通过在网页上注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而获取敏感信息或执行恶意操作。XSS攻击通常分为反射型、...
JSP Struts过滤xss攻击的解决办法
10-19
XSS攻击简介** XSS攻击通常通过在网页中插入恶意JavaScript代码实现,当用户访问这些被篡改的页面时,恶意脚本会在用户的浏览器环境中执行。攻击方式包括存储型XSS、反射型XSS和DOM型XSS,其中存储型和反射型XSS...
搭建XSS平台所需的资料,亲测可用
09-02
一、XSS平台简介 XSS平台是用于模拟和研究XSS攻击的环境,它可以提供一个可控的场景,让你了解XSS的工作原理、类型和防范措施。通过搭建这样的平台,你可以实践如何发现、利用和预防XSS漏洞。 二、XSS类型 1. 反射...
如何防止XSS攻击
m0_49521873的博客
05-23 6406
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
防范 XSS 攻击的措施
程序猿徐师兄的博客
07-13 2842
XSS 攻击是一种跨站点脚本攻击,攻击者通过在 Web 页面中注入 JavaScript 代码,从而利用用户浏览器的漏洞执行恶意操作。攻击者可以通过各种方式注入恶意脚本,包括通过表单、URL 参数、cookie 和 HTTP 头等。攻击者可以通过 XSS 攻击窃取用户的敏感信息,如用户名、密码、银行账户等,或者执行恶意操作,如重定向用户到一个恶意网站、发送恶意邮件等。XSS 攻击是一种常见的网络安全漏洞,攻击者通过注入恶意脚本来攻击用户的计算机和浏览器。
6、springboot-防止xxs攻击
aunt_y的博客
05-25 3503
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止xss攻击部分 定义: ​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 原理: ​ HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS攻击与防御
qq_41030039的博客
09-29 3847
XSS简介XSS(Cross Site Script),跨站脚本攻击,为了和CSS区分,在安全领域称为XSS。 通常指黑客通过HTML注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为。 XSS攻击类型: 1、反射型XSS 反射型 XSS 只是将用户输入的数据展现到浏览器上(从哪里来到哪里去),即需要一个发起人(用户)来触发黑客布下的一个陷阱(例如一个链接,一个按钮...
XSS防护
最新发布
愿路途漫长,莫失莫忘。 愿不骄不躁,安稳顺心。
09-05 51
2.当恶意代码被作为某一标签的属性显示,同过用“将属性截断来开辟新的属性和恶意方法:属性本身存在的单引号和双引号都需要进行转码;当用户输入的html标签及标签属性做白名单过滤,也可以对一些存在漏洞的标签和属性进行专门过滤。1.当恶意代码值被作为某一标签的内容显示:在不需要html输入的地方对html标签及一些特殊字符("<>&等等)做过滤。将其转化为不被浏览器解释执行的字符。3.对输出的内容进行过滤,针对网站需要输出的html内容进行关键字过滤。
Web应用安全防护-XXS
壮乡码农
12-07 4785
一、什么是XSS? XSS: Cross Site Script ,跨站脚本攻击。恶意攻击者在页面中注入恶意Script代码,在用户浏览时,恶意代码会被执行,从而达到攻击的目的。 恶意者通常会通过Web应用提交的内容提交Script代码,导致浏览器将用户输入的内容当成了代码执行。 二、XSS 攻击类型 1)持久性XSS 将恶意代码保存在数据库中,谁加载到该数据谁则被攻击,常见博客、论坛中。而且是长期的威胁。 2)反射性XSS 2)DOM性XSS...
pdf xss攻击 如何防御
07-27
PDF XSS攻击是指通过在PDF文档中插入恶意代码来攻击用户的浏览器。为了防御这种攻击,以下是一些常见的防御措施: 1. 在处理用户上传的PDF文件时,使用安全的解析器和过滤器来检查和清理文档中的恶意代码或脚本。这可以防止恶意代码的执行。 2. 对于用户上传的PDF文件,可以对其进行彻底的验证和过滤,只允许特定的文件格式和内容类型。可以使用文件类型验证、MIME类型验证等来确保只有合法且安全的PDF文件被接受。 3. 定期更新和维护使用的PDF阅读器和浏览器插件,以确保其具有最新的安全补丁和漏洞修复。这有助于减少攻击者利用已知漏洞进行攻击的可能性。 4. 使用沙盒技术来限制PDF文件在浏览器中执行的权限。沙盒环境可以隔离PDF文件的执行,防止其对用户的浏览器环境产生负面影响。 5. 教育用户有关PDF文件安全性的重要性,并提醒他们避免打开来自不信任或未知来源的PDF文件。用户应该时刻保持警惕,避免点击可疑的链接或下载未经验证的PDF文件。 总而言之,通过使用安全的解析器和过滤器、验证和过滤上传的PDF文件、更新软件补丁、使用沙盒技术以及提高用户意识和警惕性,可以有效地防御PDF XSS攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值