XSS跨站脚本攻击

最新推荐文章于 2025-03-22 07:00:00 发布
原创 最新推荐文章于 2025-03-22 07:00:00 发布 · 626 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #前端 #安全 #脚本 #木马

前言:

什么是XSS跨站脚本攻击?在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。

下面就是一个攻击例子。

<ScRipt>alert("XSS")</sCRipT>


如何使用?


把脚本写到输入框,点击“提交”按钮,保存到数据库里面。下次读取这数据的时候,就会执行填入得脚本。



如上图。




注入广告框


后果:

能干嘛?注入一个脚本,能注入外部广告,获取本地cookie数据,获取账号密码等信息,还可以下载一下恶意文件,进行攻击。一个脚本能干的事情都可以干。

分类 等级
危险

★★★★

攻击容易 ★★★★★
防御难度 ★★★


介绍几种防御方式:

1.https协议,是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。但是防范不了 直接获取你的account password的框获取数据或者注入广告那还是没办法。

 

作用


2.react框架,对非react框架生成的document元素都会限制。防止引用外部脚步对网站进行插入广告,导致样式乱等问题。防止对document的插入攻击,有很好的作用。但是一些监听数据,对非document攻击,没有防御作用。

作用 ★★★


3.HTML转义字符,在保存数据的时候,把特殊符号" & < >等这些符号 进行HTML转义是javascript脚本失效,变成单纯string字符。防御效果最好,直接入口做限制,出口也做限制,双重保险。无论怎样输出都会是string类型。


作用 ★★★★★


本文重点说这种,方法。


这种转义方法 会把某些字符被替换成了十六进制的转义序列,该方法不会对 ASCII 字母和数字进行编码,也不会对下面这些 ASCII 标点符号进行编码: * @ - _ + . / 。其他所有的字符都会被转义序列替换。

这样就可以在所有的客户端上读取该字符串。而且输出的时候也会正常显示   <ScRipt>alert("XSS")</sCRipT>。棒吧!


function html_encode(str)  
{  
  var s = "";  
  if (str.length == 0) return "";  
  s = str.replace(/&/g, "&gt;");  
  s = s.replace(/</g, "&lt;");  
  s = s.replace(/>/g, "&gt;");  
  s = s.replace(/ /g, "&nbsp;");  
  s = s.replace(/\'/g, "&#39;");  
  s = s.replace(/\"/g, "&quot;");  
  s = s.replace(/\n/g, "<br>");  
  return s;  
}  
 

function html_decode(str)  
{  
  var s = "";  
  if (str.length == 0) return "";  
  s = str.replace(/&gt;/g, "&");  
  s = s.replace(/&lt;/g, "<");  
  s = s.replace(/&gt;/g, ">");  
  s = s.replace(/&nbsp;/g, " ");  
  s = s.replace(/&#39;/g, "\'");  
  s = s.replace(/&quot;/g, "\"");  
  s = s.replace(/<br>/g, "\n");  
  return s;  
} 
 
//转码方法
html_encode('<ScRipt>alert("XSS")</sCRipT>') 
 
//解码方法
html_decode('&lt;ScRipt&gt;alert(&quot;XSS&quot;)&lt;/sCRipT&gt;')

结论:有好的代码规范,做好出入口限制,就能防止XSS跨站脚本攻击。不偷懒,每个入口做好工作就可以。


[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
杨秀璋的专栏
10-12 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,并构建了Web目录扫描器;本文将详细讲解XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解,最后分享了如何预防XSS攻击。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。
rest接口访问webService soap接口 用XStream javabean和xml的互转
hzhahsz的博客
06-22 2237
创建javabean ,RequestCommonFPKJ@XStreamAlias("REQUEST_COMMON_FPKJ") public class RequestCommonFPKJ { @XStreamAsAttribute    //子元素作为标签属性出现 @XStreamAlias("class")    //标签别名 private String cla...
什么是XSSXSS攻击、防御和C#编程
一只苟延残喘的卑微蝼蚁
10-24 2748
什么是XSSXSS攻击、防御和C#编程
跨站脚本攻击XSS(最全最细致的靶场实战)
热门推荐
m0_51468027的博客
01-31 6万+
一、XSS跨站漏洞 (1)XSS简介   网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌.
C#进阶之路:深度剖析XSS漏洞与解决方案
最新发布
远程部署调试 运行安装 项目调试 二次开发 项目技术新 持续迭代 部分源码免费分享
03-22 1849
XSS,即跨站脚本攻击(Cross - Site Scripting) ,是一种非常普遍且危险的 Web 安全漏洞。它的核心原理是攻击者巧妙地将恶意脚本注入到 Web 页面中。当毫无防备的用户浏览这些被注入恶意脚本的页面时,浏览器会将这些恶意脚本当作正常的页面内容进行执行,而这恰恰中了攻击者的圈套。攻击者可以通过 XSS 攻击实现多种恶意目的,如窃取用户的敏感信息、篡改页面内容、劫持用户会话等,对用户的隐私和网站的安全构成了严重威胁。
C#网站代码防止漏洞和攻击 增强网站安全性方法
一只没有感情的AI机械猿
09-15 1686
永远不要信任用户提供的输入数据。始终对用户提交的数据进行验证和过滤,以防止恶意输入。使用正则表达式、白名单过滤或内置的.NET验证来验证输入。使用参数化查询或存储过程来执行数据库查询,而不是将用户输入直接嵌入SQL语句中。这可以有效防止SQL注入攻击。始终对用户提交的数据进行HTML编码,以防止恶意脚本注入到你的网页中。使用或类似的编码函数。如果你的网站需要用户账户,确保实施强密码策略,并对用户密码进行适当的哈希和加盐处理。不要以明文存储密码。
ASP.NET(C#)后台安全登陆代码(防XSS攻击\万能密码漏洞)
yanzhibo的专栏IlgawME)Y*Ml
02-22 9330
string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.Text.Trim(); string k8md5pwd = FormsAuthentication.HashP
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击知识点总结 xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结:...
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
.netcore 处理xss攻击,做输入验证
04-06 1292
开发中我们往往需要给用户输入做一些特殊的过滤,主要的是防止xss攻击,至于一般的,有MaxLengthAttribute PhoneAttribute RegularExpressionAttribute等。 MaxLengthAttribute 类 (System.ComponentModel.DataAnnotations) | Microsoft Docs 上面是校验是否通过,我们这次做一个替换的,主要目的是防止xss工具,原理是比如在用户的输入字段中包裹一些js或者引入外部js等然后浏览器访问了
基础XSS攻击应对
Lance_Lewu的博客
08-02 483
基础XSS应对方法 - 笔记 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 0 不要信任前端 用户可能在前端输入任何内容,不一定谁在什么时间就构造一个恶意串搞搞
XSS攻击的简单实现
hxxjxw的博客
04-28 2万+
xss 跨站脚本攻击(Cross Site Script) ①在慕课网跟着教学视频自己编写一个网页 ,用这个网页模拟有XSS漏洞的网站。 在网页源码中插入了这样一句话。 这句话的作用其实是:显示一个搜索框。将搜索框中显示的内容是你用户输入之后的内容。 通过看网站源码,我们可以知道,他让用户在显示框输入一个内容,然后就把这个内容当做显示框内容显示。 ...
XSS(跨站攻击
huangyongkang666的博客
03-20 4万+
XSS漏洞(跨站脚本) 1.XSS 漏洞简介 ​ XSS又叫CSS(Cross Site Script)跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 ​ xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 常见的输出函数有: echo printf print print_r spr
asp.net防止XSS(脚本)攻击
lbx541575387的专栏
09-14 4397
///         /// 过滤xss攻击脚本        ///         /// 传入字符串       /// 过滤后的字符串        public string FilterXSS(string html)       {            if (
.net 跨站脚本攻击XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 8480
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
React.js加载组件以及JSX脚本处理代码
陈小峰(iefreer)的专栏
01-07 9795
React.js是一个组件化的JS界面开发库,可以结合XML格式的脚本语法JSX。如果你的页面中包含了这样的代码,需要将JSX代码预编译为Raw JavaScript,不然会提示有语法错误"undefined 只要在脚本代码头部加上/** @jsx React.DOM */然后把脚本类型声明为jsx即可:type="text/jsx"更多内容请参考:http://facebook.github.i
Java环境下XSS跨站脚本攻击与防御
标题“java方面xss跨站脚本”涉及到的关键词为Java、XSS跨站脚本攻击),这是一个与Web安全相关的主题。XSS是一种常见的网络攻击方式,利用了网页开发中的漏洞,在用户浏览器中执行恶意脚本,从而达到窃取信息、...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值