XSS跨站脚本攻击

最新推荐文章于 2023-03-17 12:00:43 发布
原创 最新推荐文章于 2023-03-17 12:00:43 发布 · 316 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XSS #XSS攻击 #SpringBoot

XSS(Cross Site Scripting)是一种注册型攻击,攻击者在可信网页中嵌入恶意代码。攻击方式包括反射型和存储型,前者代码出现在URL中,后者存储在服务器端。XSS的危害包括网络钓鱼、窃取用户信息、会话劫持等。常见漏洞地点在数据交互和输出处,如GET/POST/COOKIES、反馈、富文本编辑器等。防御措施之一是使用XSS Filter,如在SpringBoot中启用@ServletComponentScan,并重写getParameterValues方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS跨站脚本攻击

什么是XXS?

  • XSS全称跨站脚本(Cross Site Scripting),为了不和CSS混淆,故称为XSS.
  • XSS攻击是一种注册型攻击,攻击者在可信的网页嵌入恶意代码,用户访问可信网站除法XSS而被攻击。

XSS的攻击方式

  • 反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。
  • 存储型: 存储型XSS和反射型的XSS差别就在于,存储型的XSS提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。

XSS会造成那些危害?

攻击者通过Web应用程序发送恶意代码,一般以浏览器脚本的形式发送给不同的终端用户。当一个Web程序的用户输入点没有进行校验和编码,将很容易的导致XSS。

  • 网络钓鱼,包括获取各类用户账号;
  • 窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网>* 站执行操作;
  • 劫持用户(浏览器)会话,从而执行任意操作,例如非法转账、强制发表日志、电子邮件等;
  • 强制弹出广告页面、刷流量等;
  • 网页挂马;
  • 进行恶意操作,如任意篡改页面信息、删除文章等;
  • 进行大量的客户端攻击,如ddos等;
  • 获取客户端信息,如用户的浏览历史、真实ip、开放端口等;
  • 控制受害者机器向其他网站发起攻击;
  • 结合其他漏洞,如csrf,实施进一步危害;
  • 提升用户权限,包括进一步渗透网站;
  • 传播跨站脚本蠕虫等

XSS常见出现漏洞的地方

  • 数据交互的地方
  • get、post、cookies、headers
  • 反馈与浏览
  • 富文本编辑器
  • 各类标签插入和自定义
  • 数据输出的地方
  • 用户资料
  • 关键词、标签、说明
  • 文件上传

XSS的防御

使用XSS Filter

<dependency>
	<groupId>commons-lang</groupId>
	<artifactId>commons-lang</artifactId>
	<version>2.6</version>
</dependency>

@WebFilter(filterName = "xss",urlPatterns = "/*")
public class XssFilter  implements Filter {
    
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        // 程序防止XSS攻击原理
        // 1. 使用过滤器拦截所有参数
        HttpServletRequest request =(HttpServletRequest) servletRequest;
        // 2.重写getParameter方法
        XssHttpServletRequestWrapper XssHttpServletRequestWrapper = new XssHttpServletRequestWrapper(request);
        // 放行程序,继续往下执行
        filterChain.doFilter(XssHttpServletRequestWrapper, servletResponse);

    }
    @Override
    public void destroy() {

    }
}

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {


    private  HttpServletRequest request;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
    }
    
	@Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value != null) {
            value = StringEscapeUtils.escapeHtml(value);
        }
        return value;
    }
    
    @Override
    public  String getParameter(String name){
        // 获取之前的参数
        String value = super.getParameter(name);
        if(!StringUtils.isEmpty(value)) {
            // 使用(StringEscapeUtils.escapeHtml(name)转换特殊参数
            value = StringEscapeUtils.escapeHtml(value);
        }
        return  value;
    }
}
  • SpringBoot启动加上@ServletComponentScan
  • 使用@RequestParam 需要重写getParameterValues方法
 @Override
    public String[] getParameterValues(String name){
        // 获取之前的参数
        String[] values = super.getParameterValues(name);
        if(values!=null) {
            for (int i = 0; i < values.length; i++) {
                values[i] = StringEscapeUtils.escapeHtml(values[i]);
            }
        }
        return  values;
    }
xss跨站脚本攻击
qq_64951792的博客
08-18 1577
xss攻击
Spring Boot配置XSS
a123123sdf的博客
02-21 3066
spring boot 配置xss
44. 从零开始学springboot撸一个Xss过滤器-Filter实现
CTO技术的博客
08-26 1422
前言 项目安全需要, 需要全局对参数进行xss过滤处理. Xss简介 关于Xss很多人可能都有了解, 出于“礼貌”, 咸鱼君还是简单举个例子 用户注册时可以填写姓名 此时我填写了“” 并提交, 后端呢没有做任何检测就保存了. 那么就可能有问题, 下次再访问这个页面你会发现不停的弹窗“1”! Xss攻击呢也分很多种, 感兴趣的自行查阅资料, 这里不多说了. 那么如何面对Xss攻击呢? 其实也很好解决, 一句话“不要相信用户的任何输入”! 编程上就是对用户的提交内容进行过滤以及非法字符的“转义”! Spring
Java实现XSS防御
热门推荐
宏微的博客
07-25 2万+
XSS概述跨站脚本攻击(Cross Site Scripting)
学习若依开源项目08xss过滤 防重复提交 全局异常处理
qq_44600359的博客
08-06 3286
xss过滤 若依这个项目采用的是http协议,这样就有可能面临着xss攻击的情况 如果是不处理的话对于项目来说是一个很大的漏洞,但有些时候前端可能会用到传入一些标签的形式来处理一些情况,这个时候是又需求的,所以也不能完全屏蔽掉。 若依这里是采用配置拦截器的方式来处理xss攻击,一旦请求被过滤器拦截,就会转入到自定义的拦截器XssFilter当中,首先解决的就是判断是否启用xss拦截器和是否需要拦截,若依这里是采用在配置文件当中填写具体信息的方式,来配置是否启用xss,是否是白名单,是否是匹配链接。按照后台填
Spring Boot 如何防护 XSS + SQL 注入攻击 ?一文带你搞定!
黑科技的专栏
03-17 614
【代码】Spring Boot 如何防护 XSS + SQL 注入攻击?一文带你搞定!
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击知识点总结 xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结:...
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
XSS攻击
12-21 867
目录 1 什么是XSS攻击? 2 解决思路 3 实现代码 3.1 springBoot项目(推荐) 3.1.1 yml配置文件中设置xss参数 3.1.2 自定义XssHttpServletRequestWrapper 3.1.3 自定义XssFilter过滤器 3.1.4 自定义FilterConfig配置类 3.1.5 引用类 3.1.6 参考开源项目 3.2 springMvc项目 3.2.1 自定义XssHttpServletRequestWrapper 3.2.2 自..
Ruo-Yi 前后端分离防止XSS攻击和自定义可以重复读取InputStream流
H_Q_Li的博客
10-21 4033
Ruo-Yi 前后端分离防止XSS攻击和自定义可以重复读取InputStream流
XSS 跨站脚本攻击 的防御解决方案
东四先生的博客
03-26 1258
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS攻击原理和分类 XSS分为:存储型、反射型 、DOM型XSS 存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中...
SpringBoot2.0(十八):过滤XSS脚本攻击
小飞技术
07-18 1943
application.yml: # 防止XSS攻击 xss: # 过滤开关 enabled: false # 排除链接(多个用逗号分隔) excludes: # 匹配链接 urlPatterns: /user/* FilterConfig: import org.springframework.beans.factory.annotation.Value; import...
利用简单的过滤器 过滤特殊字符实现 防止XSS攻击
Black Monkey
09-22 1万+
web.xml配置文件  XSSFilter com.neusoft.common.filter.XSSFilter XSSFilter /* package com.neusoft.common.filter; import java.io.IOException; import javax.servlet.Fi
Java防止Xss注入json_前端进阶,你必须要了解的安全问题之XSS攻击
weixin_39621379的博客
11-20 644
前端安全一直是一个老生常谈的话题,但是在实际的工作过程中,我发现大部分的前端同学对此了解不多,或者说知道一些但从没有在意识层面真正重视过。今天我们就来扒一扒前端到底有哪些安全问题,我们到底该以什么样的态度怎么去看待它。在深入分析之前我们还是按照惯例先大概介绍下什么是XSS攻击XSS-跨站脚本攻击跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击...
springboot 通过@WebFilter(urlPatterns )配置Filter过滤路径,没有配置/*,输入任何路径都能进过滤器
huangpeigui的专栏
04-25 1万+
@Slf4j @Component @ServletComponentScan @WebFilter(urlPatterns = {"/config/*","/driver/*","/order/*","/im/*","/privacy/*","/config/*"}, filterName = "apiFilter") public class SecurityRequestFilter im...
xss攻击解决方案
M1275601161的博客
03-09 4074
参考博客: https://blog.csdn.net/qwe86314/article/details/83827588 一、什么是xss攻击 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Req
过滤器的URL-pattern与生命周期
渔舟唱晚,响穷彭蠡之滨
10-24 1388
过滤器的url-pattern 与servlet一样,也有4中配置url-pattern的形式 全路径匹配 /abc/myServlet1.do 部分路径匹配 /abc/* 通配符匹配 /* 后缀名匹配 *.do 注意:前面不加/ 在未来的实际项目开发中,我们通过过滤器来处理字符编码问题,我们所需要过滤的一般来讲都是servlet,所以在这种情况下我们使用过滤器的后缀名匹配形...
Java环境下XSS跨站脚本攻击与防御
标题“java方面xss跨站脚本”涉及到的关键词为Java、XSS跨站脚本攻击),这是一个与Web安全相关的主题。XSS是一种常见的网络攻击方式,利用了网页开发中的漏洞,在用户浏览器中执行恶意脚本,从而达到窃取信息、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值