预防XSS漏洞攻击

最新推荐文章于 2024-05-14 17:29:15 发布
最新推荐文章于 2024-05-14 17:29:15 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: el表达式 java基础 jsp基础 文章标签: 漏洞 脚本 黑客 XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaotengfei36520/article/details/40655091
版权

XSS攻击的特点就是通过对HTTP参数内容进行特殊的编写,达到获取信息、执行命令的目的。

举一个简单的例子,假如你有一个登录页面,在登录后在页面上显示用户的用户名。代码片段如下:    

request.setAttribute("username", username);

登录后显示的JSP页面片段:             

当前登录用户: <span>${username}</span>

正常的情况下,这个功能会工作的很好,不会有什么问题。但是如果遇到别有用心的人,那么结果将会很不一样。比如,在浏览器中输入URL如下:http://%host%:%ip%/XX/login?username=<script>alert('黑客!!!')</script>

那么结果将不会是你期望的在页面上看到登录用户的名称,而是弹出一个提示框显示“黑客!!!”,这就是一个典型的跨站脚本攻击。

解决办法就是使用  

${param.userName}
输出参数。

一般情况下,上述方法就搞定了。不过这里列出我遇到的两种特殊的情况。重点来了

1、页面中被注释的内容含有接收的参数。

URL如下:   http://%host%:%ip%/XX/view?Id=1&type=manage*/alert('黑客!!!');/*

jsp代码片段:

/* $("#search-btn").click(function(){
	window.location="../link?type=${param.type}&Id=${param.Id}";
}); */
而此时解析出来的html代码为: 

/* $("#search-btn").click(function(){
	window.location="../link?type=manage*/alert('黑客!!!');/*&Id=1";
}); */
访问上面URL就是弹出提示框显示“黑客!!!”。

所以要去掉页面中不必要的注释,尤其的含有输入参数的注释。

2、页面中直接使用接收的参数。如:参数放入括号中

URL如下:http://%host%:%ip%/XX/view?Id=3&type=manage&node=79777);alert("黑客!!!");%2f%2f

jsp代码片段:

<pre name="code" class="html">var proxy = Handler.getProxyByNode(${param.node});

 而此时解析出来的html代码为: 

 

var proxy = Handler.getProxyByNode(79777);alert("黑客!!!");//);
访问上面URL就是弹出提示框显示“黑客!!!”。 

 

所以要避免这样直接使用接收的参数。而应该用下面方法:
 

 

var node = '${param.node}';
var proxy = Handler.getProxyByNode(node);
 

 

 


                

        

        

    




    

      

        

            

              
                
                  ple婶
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
预防XSS攻击和SQL注入XssFilter

				
			

			

				

					05-19
				

			

		

		

			
				
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...

			
		

	



                

              
                



	

		

			

				
					
java 预防XSS攻击

				
			

			

				

					08-23
				

			

		

		

			
				
本文将深入探讨如何在Java后端进行预防XSS攻击的策略。  1. **理解XSS类型**:  - **存储型XSS**:攻击者的脚本被存储在服务器上,如论坛帖子、评论等,当其他用户访问这些内容时,恶意脚本会被执行。  - **反射型...

			
		

	



                


  
              

                


	

		

			

				
					
web安全防范之XSS漏洞攻击

				
			

			

				

					heihei_100的博客
				

				

					06-20
					
					467
					
				

			

		

		

			
				
XSS简单入门最常见的XSS攻击方法就是利用邮件:犯罪分子在一个普通的URL网址中添加一些特殊字符,例如添加几个外文字符。这些字符会适时地告知运行事先制作好的脚本的Web服务器,举例来说,一个攻击者给你的网上银行的网址中添加了这样一个脚本,然后发邮件给你。假如你相信这是来自你的网上银行的合法邮件,然后点击了邮件提供的链接地址,那么你的浏览器就会给那台Web服务器发送该脚本,这台服务器上所运行的恶意...

			
		

	





	

		

			

				
					
网站安全之XSS漏洞攻击以及防范措施

				
			

			

				

					至尊宝猴哥
				

				

					02-15
					
					808
					
				

			

		

		

			
				
XSS漏洞是网站漏洞中最容易出现的一种,至少现在的各大网站中基本都存在,传闻只有gmail是唯一一个完全不存在的,或者说攻击者没找出漏洞的,也许是因为XSS漏洞看起来危害并不是那么的大吧,所以基本上没有得到过太大的重视,从而也就造成了这么多的网站存在着一些很简单就能发现的XSS漏洞,在这篇blog中以我这个网站安全的外行人的角度来侃侃XSS漏洞攻击以及防范的措施。XSS漏洞的出现简单来说,就是让不支

			
		

	



		

			
		



	

		

			

				
					
jQuery-XSS漏洞(CVE-2020-11022 CVE-2020-11023)_cve-2020-11023复现

					
最新发布

				
			

			

				

					2401_85013983的博客
				

				

					05-14
					
					450
					
				

			

		

		

			
				
【代码】jQuery-XSS漏洞(CVE-2020-11022 CVE-2020-11023)_cve-2020-11023复现。

			
		

	





	

		

			

				
					
防止XSS攻击(sql注入)

				
			

			

				

					lfplfp1109的博客
				

				

					09-26
					
					488
					
				

			

		

		

			
				
web.xml配置:

<filter>
	<filter-name>xssFilter</filter-name>
	<filter-class>com.inspur.tax.sst.util.filter.XSSFilter</filter-class>
</filter>

<!-- 解决xss漏洞 -->
...

			
		

	





	

		

			

				
					
信息安全之XSS攻击

				
			

			

				

					绣花针
				

				

					03-19
					
					527
					
				

			

		

		

			
				
目录

一、简介

二、案例

三、防范

一、简介

Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSSXSS...

			
		

	





	

		

			

				
					
jqgrid跨站脚本漏洞解决

				
			

			

				

					weixin_30641999的博客
				

				

					01-27
					
					440
					
				

			

		

		

			
				
问题描述:
  jqgrid版本4.5.2
  用户输入值为<script>alert(123)</script>时,jqgrid默认的展示方法会将字符串转换为dom元素,于是就产生了这样的情况
  
  一些不怀好意的人就会通过这些方法对项目发起攻击。

如下提供两种修改方案:
  假设var strData = "<script>a...

			
		

	





	

		

			

				
					
关于pdf文件xss攻击问题,配置xssFilter方法

				
			

			

				

					12-21
				

			

		

		

			
				
在SpringBoot框架中,我们可以使用XSSFilter来预防这类攻击。  首先,理解XSS攻击的本质是关键。XSS攻击是通过在网页中注入可执行的脚本,当用户访问被注入脚本的页面时,这些脚本会在用户的浏览器环境中运行,从而...

			
		

	





	

		

			

				
					
XSS漏洞

				
			

			

				

					04-05
				

			

		

		

			
				
标题 "XSS漏洞" 描述了我们今天要深入探讨的主题——跨站脚本攻击(Cross-Site Scripting,简称XSS)。XSS是一种常见的网络安全漏洞,它允许恶意攻击者通过在网页上注入可执行的脚本来对用户进行攻击攻击者通常...

			
		

	





	

		

			

				
					
java 防止xss攻击

				
			

			

				

					笨鸟快飞的专栏
				

				

					10-27
					
					3438
					
				

			

		

		

			
				
关于xss的概念和解决方案网上很多,可以参考这个:

http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen

这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escap

			
		

	





	

		

			

				
					
jsp过滤非法字符输入 防止XSS跨站攻击

				
			

			

				

					Love~jiaojiao的博客
				

				

					04-12
					
					6289
					
				

			

		

		

			
				
一。写一个过滤器

 

代码如下:

 

package com.liufeng.sys.filter;

 

import java.io.IOException;

import java.io.PrintWriter;

 

import javax.servlet.Filter;

import javax.servlet.FilterCha

			
		

	





	

		

			

				
					
XSS攻击及防御

					
热门推荐

				
			

			

				

					寻道
				

				

					11-29
					
					20万+
					
				

			

		

		

			
				
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。
   XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...

			
		

	





	

		

			

				
					
如何利用jqGrid表格方法重新设置caption属性值

				
			

			

				

					天际线;世界的尽头;天涯海角 !
				

				

					06-08
					
					3549
					
				

			

		

		

			
				
1、问题背景

     (1)jqGrid生成表格带有标题,固定不变的

     (2)表格标题随着年份进行变化




2、实现源码





[html] view
 plain copy


 print?



>  
html>  
    head>  
        meta charset="UTF-8">  
     

			
		

	





	

		

			

				
					
JSP过滤器防止Xss漏洞

				
			

			

				

					    Ac   Dream
				

				

					02-13
					
					1万+
					
				

			

		

		

			
				
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能

			
		

	





	

		

			

				
					
web service渗透测试

				
			

			

				

					weixin_41489908的博客
				

				

					10-30
					
					2396
					
				

			

		

		

			
				
​在街上看见一个人像你,我瞬间特别紧张,渴望是你,又害怕是你,直到看清不是你,我庆幸不是你,有遗憾不是你。。。

---- 网易云热评

一、什么是Web Service

Web Service是一个平台独立的,低耦合的,自包含的、基于可编程的web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。



Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件,..

			
		

	





	

		

			

				
					
WEB安全(十五)如何防止XSS攻击

				
			

			

				

					jinyangjie的博客
				

				

					02-17
					
					5636
					
				

			

		

		

			
				
一、什么是XSS攻击
**XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。**XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是:
恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。
二、防止XSS攻击
1、X-XSS-Protection设置
目前该属性被所有的主流浏览器默认开启XSS保护。该参数是设置在响应头中目的是用来防范XSS攻击的。它有如下几种配置

			
		

	





	

		

			

				
					
js html代码转译防xss攻击

				
			

			

				

					webmazha的博客
				

				

					05-06
					
					1836
					
				

			

		

		

			
				
function safeHtml(a){//转译html代码
    var s="";
    for(var i=0;ia.length;i++){
        var arg=String(a);
        s=arg.replace(/&/g,"&").replace(/,"<").replace(/>/g,">");
        console.log

			
		

	





	

		

			

				
					
js中如何预防xss攻击

				
			

			

				

					05-05
				

			

		

		

			
				
XSS(跨站脚本攻击)是一种常见的Web安全漏洞攻击者利用这种...需要注意的是,这些方法并不能完全预防 XSS 攻击攻击者可能会使用其他技巧来绕过这些防护措施,因此在编写代码时应该保持警惕,尽量避免出现漏洞

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值