XSS攻击

最新推荐文章于 2025-03-18 15:19:31 发布
最新推荐文章于 2025-03-18 15:19:31 发布
阅读量1.4k 收藏
点赞数
分类专栏: web安全 文章标签: XSS 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/letterTiger/article/details/81262887
版权

XSS全称叫做Cross Site Scripting(跨站脚本攻击),之所以不叫CSS是应为和层叠样式表重名(CSS)。

被攻击的原因就是执行了非本站的脚本,该脚本有无边恶意,会盗取用户信息(cookie等登录信息,页面上的其他一切信息)。

XSS攻击又被分为两种,一种是反射型,另一种是存储型

反射型指的是攻击脚本并没有存入网站数据库,而是隐藏在链接中,通过连接传播。只要用户点击了链接就很可能会被盗取信息。

存储型指的是攻击脚本被存入了网站数据库所以在链接上看不出来一点异样,更加的隐蔽,破坏性更大。

攻击手段

通过反射型的方式,当一个网页会获取url中的参数展示在页面上并且没有对获取到的数据进行转义或者进行的转义有漏洞,那么就会存在被攻击的风险。

例如,http://www.abc.com?a=<script>alert(1)</script>这样一个连接,当参数a在页面上展示的时候,如<div>{{a}}</div>,就变成了<div><script>alert(1)</script</div>,此时这段代码就会被执行,如果这段代码做的不是弹出一个1这么无聊的事情,而是获取cookie,然后通过Ajax发送cookie到自己的服务器,后果可想而知了。传播的话就是把这个链接发送给别人,例如:<a href="http://www.abc.com?a=<script>alert(1)</script>">点我领取5块钱</a>或者将链接做一个短网址消除疑虑,直接散播出去。

通过存储型的方式,在一个网站留言的地方输入一段脚本,例如:提交。当用户来到这个页面的时候这段脚本就会执行。

防御

就是对于一切来自用户的数据保持怀疑警惕的态度,对于一切来自用户的数据进行转义。而转义的时机有两个,一个在数据存入数据库之前,一个是在数据展示在页面上之前,我个人建议在存入之前转义,这样就只用转义一次即可,而如果是在展示之前转义的话展示一次就需要转义一次。

具体转义的对象就是一些 / ” < > 之类的特殊字符,防止形成可执行脚本。

总结

XSS的危害很大,并且在国内并没有相对应的重视程度,并且XSS攻击的形式很多,所以要时刻关注自己网站的相关安全问题,一发现异常要即使处理。

XSS攻击笔记
F_i_n_n的博客
06-30 239
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 ————百度百科 xss有三种分别是:反射型 ,储存型 ,DOM型 反射型: 下面为一个测试的表单页面: XSS
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
XSS详解
最新发布
尘玥的故事
03-18 1315
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故缩写为XSS。这是⼀种将任意Javascript代码插⼊到其他Web⽤户⻚⾯⾥执⾏以达到攻击⽬的的漏洞。攻击者利⽤浏览器的动态展示数据功能,在HTML⻚⾯⾥嵌⼊恶意代码。当⽤户浏览改⻚时,这些潜⼊在HTML中的恶意代码会被执⾏,⽤户浏览器被攻击者控制,从⽽达到攻击者的特殊⽬的,如cookie窃取等。
浅谈跨站脚本攻击
weixin_30270561的博客
12-01 156
什么是XSS攻击 XSS又叫CSS(Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大...
XSS攻击介绍
xysoul的专栏
04-27 808
什么是XSS XSS(Cross Site Script,又称CSS)跨站脚本攻击,是指攻击者利用站点的安全漏洞往Web页面里插入恶意html代码或JS脚本,当用户浏览该页时,嵌入Web里面的攻击脚本会被执行,达到攻击目的。 因为这种攻击是通过别人的网站脚本漏洞达到攻击的效果,就是说可以隐藏攻击者的身份,因此叫做跨站攻击。 (1)非持久性XSS 最直观的就是构造URL欺骗用户点击,URL中
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
8、XSS 攻击的防御pdf资料
10-15
XSS攻击的核心在于将恶意的JavaScript代码注入到网页中,当用户浏览含有这些脚本的网页时,浏览器会执行这些代码,导致用户受到攻击XSS攻击主要发生在用户可以输入数据的地方,如微博、留言板、聊天室等。如果...
xss攻击语句大全。。
04-16
网站安全测试。。xss漏洞。。免去你输入的麻烦。可以直接复制粘贴。。
xss攻击简单介绍
chaoguangsu111的博客
12-06 390
1. xss攻击分类 1.反射型 url参数直接注入 2.存储型 存储到DB后读取时注入 2. xss攻击注入点 1.Html节点内容 2.HTML属性 3.javascript代码 4.富文本 3. 解决 1.浏览器自带防御 X-XSS-Protection 能解决Html节点内容 和 HTML属性 2.html内容进行转义 像< > " ' 还有空格 3...
XSS攻击介绍以及防御
会飞的猫的博客
05-12 318
XSS攻击介绍以及防御
XSS攻击详解
热门推荐
m0_55854679的博客
02-22 3万+
XSS文章 文章目录什么是XSSXSS能做什么XSS业务场景XSS类型如何检测XSSXSS核心 —— 同源策略注意:XSS语句XSS防御方法XSS检测方法 —— XSS平台反射型XSS练习存储型XSS练习 什么是XSS 跨站脚本攻击(前端注入) 注入攻击的本质,是把用户输入的数据当做前端代码执行。 设置cookie操纵浏览器: 这里有两个关键条件: 第一个是用户能够控制输入; 第二个是原本程序要执行的代码,拼接了用户输入的数据。 SQL注入拼接的是操作数据库的SQL语句。XSS拼接的是网页的HTML代码
xss攻击小结
anma5413的博客
01-06 319
上周初步学习了xss的类型、攻击方法原理和防御措施,并对其做了个简单的总结。 那么这周就以dvwa来总结一下简单的xss攻击。 low级别: 查看源代码可以看到,并没有对参数做任何的处理过滤,所以直接输入带有xss攻击的代码就可以弹窗,比如<script>alert(1)</script>: Medium级别: ...
xss 网站攻击
Ryman的博客
03-03 1630
今天在对外的一个系统数据中,看到有一段js 脚本 上网一搜,原来这就是传说中的网站XSS攻击,  跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执
xss攻击总结
weixin_40222803的博客
07-09 790
xss攻击可以分成两种类型:非持久型xss攻击:顾名思义,非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。持久型xss攻击:持久型xss,会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。可以分为三类:反射型:经过后端,不经过数据库存储型:经过后端...
网站常见漏洞-- XSS攻击
weixin_33754913的博客
11-15 275
跨站攻击,即CrossSiteScriptExecution(通常简写为XSS,因为CSS与层叠样式表同名,故改为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。很多人对于XSS的利用大多停留在弹框框的...
xss攻击
03-08
### XSS攻击简介 跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的Web安全漏洞,允许攻击者向其他用户的浏览器注入恶意脚本。当受害者访问被篡改的网页时,嵌入其中的恶意脚本会在受害者的浏览器上执行,可能导致敏感数据泄露或其他有害行为[^1]。 #### 原理说明 XSS攻击的核心在于服务器端未对用户输入做适当处理就将其返回给客户端显示。如果用户提交的内容包含了可被执行的HTML或JavaScript代码片段,在某些情况下,浏览器会错误地把这些内容当作正常的页面组成部分来渲染和解释。例如: ```html <img src="javascript:alert('xss')" /> ``` 上述例子展示了通过图片标签`<img>`携带JavaScript语句的方式尝试触发警告框弹窗,尽管这种做法并非适用于所有类型的现代浏览器环境。 #### 防御措施 为了有效抵御XSS威胁,开发人员可以从以下几个方面着手加强防护机制: - **输入验证与清理**:严格校验并净化来自前端的一切不可信数据源,移除潜在危险字符组合。 - **输出编码转换**:对于任何要展示到界面上的文字串,务必先经过合适的转码操作再呈现出来,比如将尖括号替换为实体形式(< 和 >)防止其作为标签结构的一部分参与解析过程[^3]。 - **采用框架内置的安全特性**:像Spring Boot这样的Java微服务框架提供了专门用于预防XSS风险的功能组件,如注解处理器以及自定义过滤器等工具可以帮助自动完成必要的保护逻辑设置[^2]。 ```java // 使用 @EscapeHtmlFilter 注解标注需要逃逸 HTML 的参数 @PostMapping("/submit") public String submit(@RequestParam(value = "content", required=false) @EscapeHtmlFilter String content){ // 处理业务... } ``` 此外,还应鼓励良好的编程实践习惯,定期审查现有项目中的薄弱环节,并及时更新依赖库版本至最新状态以获得官方发布的修复补丁和支持改进。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值