关于跨站javascript问题

最新推荐文章于 2022-10-27 13:35:40 发布
最新推荐文章于 2022-10-27 13:35:40 发布
阅读量149 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Struts2 文章标签: JavaScript Struts XML ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/popbao/article/details/83283852
本文分享了作者参与公司政府网站项目的XSS漏洞扫描及修复过程。虽然项目已采用客户端JavaScript和服务器端Struts验证,但仍然引入了额外的验证类Checkvalidator来增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近,公司对原有政府网站项目进行了XSS漏洞扫描和修复。自己也参与其中,感触颇深啊。
原来的项目对所有的提交的请求中的参数,做了客户端的javascript验证和服务器端的Struts的Validation验证,但是还是不能应对那些黑客的跨站式攻击。不得不自己新写了一个Checkvalidator类,对所有在**-validation.xml文件中注册验证的字段进行验证。这个已经真实上线使用,希望各位大大提出指正意见。
相关代码如下:

	 public class Checkvalidator extends FieldValidatorSupport {
		private static String expression = "<script>";
		public void validate(Object object) throws ValidationException {
			String fieldName = getFieldName();
			String value = (String) getFieldValue(fieldName, object);
			//System.out.println("[validator!]" + fieldName);
			if (value == null || value.trim().length() == 0) { return; }
			if (value.indexOf(expression)>=0) { addFieldError(fieldName, object); }
		}
	}

validators.xml文件中添加如下
<validator name="check" class="validator.Checkvalidator"/>
**-validation.xml
<field name="欲验证的字段">
<field-validator type="check">
<message>字段含有非法字符!</message>
</field-validator>
</field>
针对XSS跨站脚本漏洞 javascript 示例
qq_35010327的博客
12-13 2517
针对XSS跨站脚本漏洞,建议过滤”” 、”>” 并将用户输入放入引号间,基本实现数据与代码隔离;过滤双引号防止用户跨越许可的标记,添加自定义标记;过滤TAB和空格,防止关键字被拆分;过滤script关键字;过滤&#,防止HTML属性绕过检查。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号) [
JQuery跨站脚本漏洞
qq274575499的博客
04-02 4348
jQuery 3.4.0之前版本中存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
常见的javascript跨站
weixin_30908103的博客
09-11 112
   第一类: <img src=javascript:alert() /> <iframe src=javascript:alert()></iframe> <script src=javascript:alert()></script> 第二类: <div style=background-image:url(jav...
javaScript跨站脚本攻击
qq_35982570的博客
03-26 1582
跨站脚本可以称为XSS,是攻击者向目标Web站点注入HTML标签或者脚本。所以在开发过程中javaScript程序员必须意识到这点。 例如:                                var name=docodeURIComponent(window.location.search.substring(1))||"";                       
XSS跨站攻击介绍
m0_54020412的博客
06-15 2138
本文介绍了XSS跨站攻击方式及演示
XSS跨站脚本
weixin_59872639的博客
02-22 2418
XSS简介 XSS被称为跨站脚本攻击(Cross-site scripting),由于和CSS(CascadingStyle Sheets) 重名,所以改为XSS。 XSS主要基于javascript语言完成恶意的攻击行为,因为javascript可以非常灵活的操作html、css和浏览器。 XSS就是指通过利用网页开发时留下的漏洞(由于Web应用程序对用户的输入过滤不足),巧妙的将恶意代码注入到网页中,使用户浏览器加载并执行攻击者制造的恶意代码,以达到攻击的效果。这些恶意代码通常是JavaScri
关于JavaScript框架介绍
hdxx2022的博客
10-27 2970
这个 JavaScript 库是开源的,藉由这个框架,开发人员可以利用它的 Web 组件来开发 Web 应用程序。在实际意义上来说,Polymer 的设计方式是这样的:它可以利用新的 Web 组件的规范,以便让开发人员创建自定义元素。根据 Statista 的报告,JavaScript 是 2019年开发人员使用的最流行的编程语言,在2020年亦是如此。当你计划构建一个完整的开发堆栈,或者一个大型 Web 应用程序,或者一个单页面应用程序时,Ember 可以被认为是一个完美的解决方案。
html注入跨站攻击脚本,跨站脚本攻击(XSS)
weixin_39888180的博客
06-23 2055
跨站脚本攻击(XSS)是一种客户端代码注入攻击。攻击者通过在合法的网页中注入恶意代码,达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时,攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。如果网页将用户的原始输入作为网页内容,那么它很容易受到 XSS 攻击,因为这类用户输入一定会被受害者的浏览器解析。...
XSS跨站脚本攻击
金色%夕阳的博客
04-13 4853
XSS跨站脚本攻击 1. 引入 炸诈骗短信-----利用的是人性的弱点构造的恶意链接 人性的弱点----贪婪 恶意链接之后后会进行跳转,从而导致数据的丢失 2. XSS注入漏洞的简介 1. 什么是XSS漏洞 英文全称:Cross Site Scripting.层叠样式表CSS,层叠样式表出现在XSS漏洞之前,为了避免混淆所以改名为XSS 中文名称:跨站脚本攻击、XSS注入漏洞 2. 如何进行攻击呢 恶意攻击者向web前端插入恶意的前端代码(核心是javascript代码),当用户浏览该网页 时,嵌入其中
exokit跨平台JavaScript引擎
04-06
Exokit是一个开源的跨平台JavaScript引擎,主要用于构建虚拟现实(VR)和增强现实(AR)应用程序。Exokit基于WebXR标准,提供了一个跨平台的JavaScript运行时环境,使开发者能够使用Web技术(如HTML、CSS和...
基于JavaScript的fastms跨平台设计源码
09-25
fastms是一个基于JavaScript的跨平台应用开发项目,它融合了多种编程语言和开发技术,提供了丰富的文件类型以支持应用程序的构建。该项目的核心是JavaScript,它是一种广泛使用的脚本语言,常用于网页的动态效果和...
基于JavaScript的跨平台CS项目开发语言学习源码
10-06
在深入探索基于JavaScript的跨平台CS项目开发语言学习源码之前,我们需要对几个关键概念进行清晰的界定。首先,JavaScript作为一种广泛使用的脚本语言,它通常运行在浏览器中,但随着技术的发展,JavaScript的应用...
基于JavaScript语言的跨平台开源管理设计源码选择指南
10-05
本篇指南旨在探讨如何选择一款基于JavaScript语言编写的跨平台开源管理设计项目的源码。该项目不仅包含丰富的源文件,而且涉及多个文件类型,以及适用于多种开发环境的配置文件。在深入选择开源项目源码之前,需要...
基于JavaScript的跨语言医疗知识图谱应用设计源码
05-07
本项目是一款基于JavaScript核心技术的跨语言医疗知识图谱应用设计源码,集合了Python、JavaScript、CSS、HTML、Shell、PHP等多种编程语言,共包含356个文件,涵盖了109个Python脚本、90个JavaScript文件、35个PNG...
750W高PF值充电机电源方案:基于UCC28070、ST6599和PIC16F193X的设计与实现
08-08
750W高功率因数(PF)充电机电源设计方案,采用TI公司的UCC28070作为交错式PFC控制器,ST公司ST6599用于LLC谐振变换,以及Microchip的PIC16F193X作为主控芯片。文中不仅提供了详细的原理图、设计文件和烧录程序,还分享了实际调试经验和技术细节。具体来说,PFC环节通过优化乘法器补偿和电流环参数实现了极高的PF值;LLC部分则着重于死区时间和谐振腔参数的精确配置;单片机部分负责状态管理和故障保护等功能。最终方案实测效率达到94%,相比传统方案节能显著。 适合人群:电力电子工程师、硬件开发者、嵌入式系统设计师,特别是对高效电源设计感兴趣的读者。 使用场景及目标:适用于需要设计高性能、高效率充电机的企业和个人开发者。目标是在满足高功率因数的同时,提高转换效率并降低能耗。 其他说明:附带完整的原理图、设计文件和烧录程序,有助于读者快速上手并进行实际项目开发。同时引用了华南理工大学硕士学位论文的相关理论支持,使方案更具权威性和可靠性。
JAVA控制台命令详解.pdf
08-08
JAVA控制台命令详解
远程PLC通讯编程调试监控方案:基于安全验证型中转服务器的云边协同解决方案
08-08
内容概要:本文介绍了远程PLC通讯编程调试监控方案,旨在解决传统PLC设备调试和维护过程中遇到的距离限制和技术支持难题。该方案采用安全验证型中转服务器,支持自定义网络设备接入,实现上千路PLC设备的并发对接调试。通过云边协同技术,实现了远程编程、实时监控和故障诊断等功能,极大提升了工作效率和设备稳定性。文中详细阐述了方案的核心——安全验证型中转服务器的工作原理及其提供的服务器和客户端源代码,强调了每个通信数据包均经过严格加密和验证,确保数据传输的安全性。此外,文章还探讨了云边协同带来的优势以及代码编写过程中的技术挑战和成就感。 适合人群:从事工业自动化领域的工程师、技术人员,尤其是那些负责PLC设备调试和维护的专业人士。 使用场景及目标:适用于需要远程调试和监控PLC设备的场合,如偏远地区的工程项目、大型制造企业等。主要目标是提高PLC设备的调试效率,减少现场维护成本,增强设备的可靠性和安全性。 其他说明:该方案不仅解决了实际工程中的痛点,也为工程师们提供了更多技术探索的机会,特别是关于云边协同技术和安全验证机制的学习和实践。
L-noodle-react-big-screen-13768-1753357219888.zip
最新发布
08-08
cursor免费次数用完L-noodle_react-big-screen_13768_1753357219888.zip
鸿蒙中使用tree代码文件
08-08
测试数据
JavaScript实现跨平台Office文档在线预览技术
此外,还需要考虑到防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等常见的网络安全问题。 8. 用户体验设计 在用户界面(UI)设计方面,需要考虑到文档预览的易用性和直观性。例如,预览器应该具备缩放、打印、全屏等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值