跨站攻击的解决方法

最新推荐文章于 2024-03-20 00:00:00 发布
转载 最新推荐文章于 2024-03-20 00:00:00 发布 · 499 阅读 · 0

本文介绍了四种有效的方法来防止网页受到恶意攻击:一是校验输入参数,禁止特定字符;二是使用不同标签库转义特殊字符;三是通过Nginx配置阻止常见攻击尝试;四是设置Web容器过滤器。
转至元数据起始

方法一:

对输入参数进行校验,<>等特殊字符不允许输入.

方法二:

对输入参数输出在页面前就使用以下标签进行转义特殊字符:

ATG 标签库:

?
< dsp:valueof param = "boldCode" valueishtml = "true" />

JSTL 标签库:

?
< c:out value = "${boldCode}" escapeXml = "false" />;

Struts 标签库:

?
< s:property value = "html" escape = "false" />

commons-lang:

?
StringEscapeUtils.escapeHtml( "<script>aaaa</script>" );

 

方法三:

在Nginx上加入以下代码:

?
set $block_common_exploits 0 ;
if ($query_string ~ "(<|<).*script.*(>|>)" ) {
 
    set $block_common_exploits 1 ;
 
}
if ($query_string ~ "href=" ) {
 
    set $block_common_exploits 1 ;
 
}
if ($block_common_exploits = 1 ) {
 
    return 403 ;
 
}

 

方法四:

        在web容器中写个Filter.

 

还不够
关注
Web安全之XSS跨站脚本攻击:如何预防及解决
J老熊
09-07 2698
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSS是Web应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 1117
漏洞描述:本页面存在跨站脚本攻击跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
同源策略与跨域访问与跨域攻击CSRF
向小雅的博客
11-03 722
参考文章:https://blog.youkuaiyun.com/qq_38128179/article/details/84956552 同源策略 浏览器的同源策略限制,是浏览器最核心也最基本的安全功能。web基于同源策略构建,浏览器是针对同源策略的实现。同源策略会阻止一个域的js脚本和另外一个域的内容进行交互。 同源指协议+域名+端口三者相同 可以在一定程度上防止跨域攻击CSRF。 跨域访问 访问不同源,即跨域。 协议不同、域名不同(主域名、子域名)、端口不同 比如https://www.baidu.com:808
同源策略及跨站 学习笔记
MoveLikeRabbit的博客
07-25 293
同源策略 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页”同源”。所谓”同源”指的是”三个相同”。 协议相同 域名相同 端口相同 “同源政策”是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了 浏览器同时还规定,提交表单不受同源政策的限制。...
同源策略 & 内容安全策略
4ct10n
12-18 1997
为了更好的理解掌握 同源策略(Same origin policy)、内容安全策略(CSP,ContentSecurityPolicy)、跨站脚本攻击(Cross Site Scripting)、跨站请求伪造(Cross-site request forgery)、服务器端请求伪造(Server-Side Request Forgery)做了以下实验环境配置 在80端口开放Apache服务器 在80
七、抵御即跨站脚本(XSS)攻击
weixin_39309918的博客
10-20 1951
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie。攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。例如用户在发帖或者注册的时候,在文本框中输入。的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染。,黑客依然可以轻松的冒充已经登陆的用户。
Nginx 配置过滤攻击
java_w的专栏
12-17 695
#配置生效 server{ include /opt/www/nginx/conf/dropsql; } cat /opt/www/nginx/conf/dropsql # Block common exploits set $block_common_exploits 0; #过滤alert if ($query_string ~ .*alert.*) { set $block...
电信设备-跨站攻击解决方法、移动终端及存储介质.zip
09-18
"电信设备-跨站攻击解决方法、移动终端及存储介质.zip"这个压缩包文件显然关注的是网络安全的三个方面:跨站攻击(Cross-Site Scripting,简称XSS)、移动终端安全以及存储介质的安全。 首先,我们来深入了解一下跨...
XSS跨站脚本攻击在Java开发中防范的方法
01-09
### XSS跨站脚本攻击在Java开发中的防范方法 #### XSS攻击原理与分类 XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
跨站点脚本攻击xml文件
11-15
跨站点脚本攻击xml文件
nginx 另一WAF方式
weixin_33991727的博客
12-20 156
http://blog.youkuaiyun.com/cnbird2008/article/details/8625179   nginx 另一WAF方式 2013-03-01 10:57 116人阅读 评论(0) 收藏 举报 使用方法: vi /usr/local/nginx/conf/drop_sql.conf 添加以下内容 代码: ## Block SQL injections set $block...
还在手动配置Nginx?太LOW了,这个超强大的 Nginx 可视化管理工具太牛逼了!
公众号-老炮说Java
03-18 1695
大家好,我是老赵今天给大家介绍一款 Nginx 可视化管理界面,非常好用,小白也能立马上手。nginx-proxy-manager 是一个反向代理管理系统,它基于 NGINX,具有漂亮干净的 Web UI。还可以获得受信任的 SSL 证书,并通过单独的配置、自定义和入侵保护来管理多个代理。它是开源的,斩获 11.8K 的 Star 数。特征基于 Tabler(https://tabler.gith...
Nginx可视化管理实战攻略:提升管理效率新途径
最新发布
网络安全
03-20 863
Nginx可视化管理实战攻略:提升管理效率新途径
跨站脚本攻击原理、攻击过程及防御方法简介
seek_2022的博客
05-03 9361
文章目录一、XSS简介(一)什么是XSS?(二)XSS的危害(三)XSS的分类(四)XSS的特性(五)XSS攻击过程二、如何防御XSS攻击?三、本文小结 一、XSS简介 (一)什么是XSS? Cross-Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。通常安全圈内的人喜欢称其为前端注入。 前端注入:用户输入的数据被当做前端代码执行(一般是当做JS代码执行)。 前端的三种代码中,出现XSS漏洞时,90%的情况下,注入的代码是被当
宝塔发布网站问题汇总和记录
qs1137981843的博客
01-16 731
2、laravel项目部署到linux的时候出现The stream or file "/home/www/storage/logs/laravel.log" could not be opened in append mode。php中redis扩展没有安装,需要安装一下。解决办法,关闭防跨站攻击2。1、添加网站站点后打不开。
设置open_basedir防止跨站攻击
小马哥的博客
02-06 1740
通过设置open_basedir将 PHP 所能打开的文件限制在指定的目录树,包括文件本身。本指令不受安全模式打开或者关闭的影响。
php关闭防跨站,PHP防止跨站和xss攻击代码
weixin_42100188的博客
03-13 915
文档说明:1.将waf.php传到要包含的文件的目录2.在页面中加入防护,有两种做法,根据情况二选一即可:a).在所需要防护的页面加入代码1require_once('waf.php');就可以做到页面防注入、跨站如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!添加require_once('waf.php');来调用本代码常用php系统添加文件PHPCM...
全面解析跨站攻击(XSS):概念、影响与防范
跨站攻击,全称为跨站脚本攻击(Cross Site Script Execution),通常缩写为XSS,是一种常见的网络安全漏洞,它允许攻击者向网站注入恶意脚本代码,这些代码会在其他用户浏览网页时执行,从而危害用户的浏览器安全。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值