如何防止XSS攻击

最新推荐文章于 2023-05-16 22:24:11 发布
最新推荐文章于 2023-05-16 22:24:11 发布
阅读量1k 收藏
点赞数 2
分类专栏: 前端 工作问题 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxh13521338301/article/details/106523678
版权

源于蚂蚁课堂的学习,点击这里查看(老余很给力)  

何为XSS攻击

 

分类 

反射型 

请求参数中包含script等特殊的指令,随响应返回至视图,使得视图层执行了对应的脚本

 存储型

参数中包含特殊的脚本,且被持久化(记录在数据库等地方),用户再去使用时,读取了这些文件,HTML解析后误以为是页面脚本,
就会触发执行

DOM 

输出点在 DOM 。XSS代码可能是<script src="https://xxx.js">,载入第三方的恶意脚本,这些恶意脚本通常读取用户的cookie

常见攻击方法 

绕过XSS-Filter利用<>标签注入Html/JavaScript代码

利用HTML标签的属性值进行XSS攻击。

空格、回车和Tab。关键字被空白隔开,例如:<img src=“javas cript:alert(/xss/);”/>

利用事件来执行跨站脚本。例如:<img src=“#” onerror= “alert(1)”/>

利用CSS跨站。例如:body {backgrund-image: url(“javascript:alert(‘xss’)”)}

扰乱过滤规则。例如:<IMG SRC=“javaSCript: alert(/xss/);”/>

利用字符编码,通过这种技巧,不仅能让 XSS 代码绕过服务端的过滤,还能更好地隐藏 Shellcode

拆分跨站法,将XSS攻击的代码拆分开来,适用于应用程序没有过滤 XSS 关键字符(如<、>)却对输入字符长度有限制的情况下

DOM 型的XSS主要是由客户端的脚本通过DOM动态地输出数据到页面上,它不依赖于提交数据到服务器,而是从客户端获得DOM中
的数据在本地执行。
容易导致 DOM 型的 XSS 的输入源包括:
Document.URL、
Location(.pathname|.href|.search|.hash)、
Document.referrer、
Window.name、
Document.cookie、
localStorage/globalStorage

如何预防

XSS Filter

按照我们指定的规则去提交数据,不符合规则的内容全部拦截

 html特殊字符转义

显示结果描述实体编号
 空格&nbsp ;
<小于&lt ;
>大于&gt ;
&&amp ;
''引号&quot ;

 Http Only cookie

许多XSS攻击的目的就是为了获取用户的cookie,我们可以将重要的cookie标记为http only,使得脚本无法访问cookie

欢迎大家和帝都的雁积极互动,头脑交流会比个人埋头苦学更有效!共勉!

公众号:帝都的雁

yxh13521338301
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击的预防措施
qq_45335911的博客
09-07 6401
XSS攻击的预防 结合上一篇文章知道了XSS的基本攻击方式和基本概念,这里就主要讲一下如何预防XSS的攻击。 上面是我在网上找的一个可以作为简单理解的概念图,如果不理解可以根据顺序参照理解。 预防储存型和反射型XSS攻击 存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。 预防这两种漏洞,有两种常见做法: 改成纯前端渲染,把代码和数据分隔开。 对 HTML 做充分转义。 纯前端渲染 纯前端渲染的过程: 浏览器先加载一
web安全之XSS攻击原理及防范
最新发布
2401_83739727的博客
04-12 883
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
前端安全系列(一):如何防止XSS攻击
Innocence_0的博客
02-15 1346
前端安全系列(一):如何防止XSS攻击
pikachu-xss源码分析及修复
静水流深,沧笙踏歌
08-13 3400
xss源码分析 反射型主要在查询的地方,存储型主要在留言、评论的地方,dom型是特殊的反射型。 1.反射型xss(get) 测试随便输入,发现把用户输入的输出到下面的who is后面,测试一下<script>alert(‘xss’)</srcipt>,弹出xss。(记得把maxlength属性改大一点) 代码分析: $html变量直接拼接了{$_GET[‘messag...
如何防止XSS攻击
许文杰的博客
03-13 3703
  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技...
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7681
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、话和co
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
ESAPI提供了一套完整的API,可以方便地对用户输入进行验证和清理,从而防止XSS攻击。例如,我们可以使用`ESAPI.encoder().encodeForHTML()`方法来转义HTML特殊字符,确保用户输入不被浏览器解释为HTML代码。 要...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在SpringBoot项目中集成ESAPI(Enterprise Security API)可以有效地防止XSS攻击。本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS防护。 首先,让我们了解ESAPI。ESAPI是一...
防止XSS攻击xssProtect
01-09
防止XSS攻击是保护Web应用安全的重要环节。 在Java开发环境中,有多种方法可以防御XSS攻击,其中一个就是使用开源库。在这个压缩包中包含的三个jar文件,都是与防止XSS攻击相关的: 1. antlr-3.0.1.jar:ANTLR...
XSS攻击与防范方法
m0_58474008的博客
05-16 1272
当恶意攻击者向web应用程序的页面里插入恶意脚本,处于客户端的用户浏览该网页时,嵌入在正常web页面中的恶意代码就被执行,从而达到攻击者攻击访问用户、获取访问用户信息,甚至获取网站权限的特殊目的。DOM型XSS攻击执行的前提是原始网页存在一些修改DOM对象的方法和属性,这些方法及属性能动态地刷新响应页面,并向其中添加一些新的内容,而不需要用户在浏览器里执行任何的操作。如果攻击者利用这一特性,在具有XSS漏洞的 web应用程序中植入恶意脚本,那么被攻击的用户就间接地访问了该恶意脚本。
防御Xss攻击的几种方法
shadow_zed的博客
03-03 4233
防御Xss攻击的几种方法 关于xss是什么,以及它带来的危害,这里不多赘述 宁杀错,不放过。对用户输入的内容进行HTML编码 使用Spring提供的工具类org.springframework.web.util.HtmlUtils String result = HtmlUtils.htmlEscape("<script>alert('springboot中文社区');...
day23 - Cookie、本地存储localStorage以及XSS攻击
weixin_45274291的博客
07-17 909
一、Cookie 1.概念: Cookie是浏览器提供的一个存储数据的空间。 Cookie又叫话跟踪技术,是由Web服务器保存在用户浏览器上的小文本文件,它可以包含相关用户的信息。无论何时用户链接到服务器,Web站点都可以访问Cookie信息 。 比如:自动登录、记住用户名,记住一些和用户相关的信息等。 2.特点: 1.cookie必须是分域名存储的,也就是说在当前域名下设置的cookie只能在当前域名下获取 2. cookie是有时效性的,默认是话级别,浏览器关闭就失效 3. cookie分路径的,
cookie存储 XSS跨站脚本攻击 localStorage sessionStorage
蒲公英芽的博客
02-12 2802
什么是cookie cookie实际上就是一些信息,这些信息以文件的形式存储在客户端计算机上。当用户访问了某个网站,可以通过cookie向访问者电脑上存储数据。 cookie的主要作用是在浏览器中进行数据的存储,并与服务器互动。 比如:密码 cookie,访当问者首次登陆网站时,需要填写密码。密码可被存储于 cookie 中。当他们再次访问网站时,就从 cookie 中取回密码。 cookie可...
HTML5 本地存储 localstorage 安全分析
热门推荐
Delion
07-11 2万+
在HTML5本地存储出现以前,WEB数据存储的方法已经有很多,比如HTTP Cookie,IE userData,Flash Cookie,Google Gears。其实再说细点,浏览WEB的历史记录也算是本地存储的一种方式。到目前为止,HTML5本地存储方式已经获得了广泛的支持,其中支持的浏览器包括:IE 8+、FF 3.5+、Safari 4+、Chrome 4+、Opera 10.5+,手机
前端安全——XSS攻击与防御原理详解
qq_44197554的博客
12-13 5567
前端开发人员必备安全防范知识——XSS攻击与防御,希望大家可以认识到xss攻击的危害
说说如何防御 DOM Based 类型的 XSS 攻击
读万卷书,行万里路
08-31 2135
普通的 XSS,是通过服务端(比如模板技术)将数据输出到 HTML 中。而 DOM Based 类型 的 XSS,是通过 JS 将数据输出到 HTML 中。 1 失败防御案例一 请看下例: <script type="text/javascript"> var x='<来源于 input 输入框>'; document.write("<a href=...
jersey如何防止xss攻击
05-26
Jersey 是一种用于构建 RESTful Web 服务的框架,其本身并没有提供直接的防止 XSS 攻击的功能。不过,我们可以通过一些方法来增强我们的服务,以防止 XSS 攻击。 以下是一些可以采取的措施: 1. 输入验证和过滤:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值