跨站漏洞防御——特殊字符转换

最新推荐文章于 2024-04-12 11:40:16 发布
转载 最新推荐文章于 2024-04-12 11:40:16 发布 · 254 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3636678/blog/2218669
文章标签:

#web安全 #python #javascript #ViewUI

本文介绍了一种用于防止跨站脚本(XSS)攻击的字符串过滤函数,通过将特殊字符转换为HTML实体,确保了网页内容的安全性。函数详细展示了如何处理常见的HTML特殊字符,如>、<、"等,以及如何处理空格、制表符和换行符,避免潜在的安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

从《黑客攻防:web安全实战详解》一书中看到的这个函数,就是简单地把字符串中的一些特殊字符过滤掉,其他的特殊字符也可以再进行添加。对所有的输入输出字符串进行过滤,基本可以杜绝大部分的跨站漏洞。(还不是很懂JavaScript语言,先马下)

function dvHTMLEncode(byval fString)
if isnull(fString) or trim(fString) = "" then
	dvHTMLEncode=""
	exit function
end if
	fString = replace(fString, ">", ">")
	fString = replace(fString, "<", "&lt;")
	fString = replace(fString, CHR(32), "&nbsp;")
	fString = replace(fString, CHR(9), "&nbsp;")
	fString = replace(fString, CHR(34), "&quot;")
	fString = replace(fString, CHR(39), "&#39;")
	fString = replace(fString, CHR(13), "")
	fString = replace(fString, CHR(10) & CHR(10), "</p><p> ")
	fString = replace(fString, CHR(10), "<BR> ")
	dvHTMLEncode = fString
end function

 

转载于:https://my.oschina.net/u/3636678/blog/2218669

WEB漏洞篇——跨站脚本攻击(XSS)
m0_56634355的博客
06-05 4953
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
微软数据库的SQL注入漏洞解析——Microsoft Access、SQLServer与SQL注入防御
最新发布
CoffeMilk的博客
09-12 2382
一般进行SQL注入前,都需要对这些数据库所对应的程序寻找注入点,常见的SQL注入点一般存在于参数输入、输出的位置(如:注册登录、不同页码、参数内容的数据查询、不同页面切换、留言版等内容)。
web存储性跨站脚本漏洞验证特殊字符和语句
01-08
这是存储性跨站脚本验证的一些特殊语句,可以用来查看内网、系统、app、web是否存在XSS漏洞
StringEscapeUtils 工具特殊字符转码,防止xss攻击
mcband的博客
09-04 1717
防止xss存储型攻击
渗透测试XSS跨站漏洞input输入js特殊字符过滤
a1604914398的博客
05-09 5758
修复建议:建议对用户得输入与输出进行过滤,过滤一些比较危险得标签和关键字,如<script></script>、alert等 代码如下:在input输入框加入onblur事件;定义onblur="checkText('id',this.value)";id为文本框DOMid属性 //验证文本框输入特殊字符 function checkText(id,text){/...
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤在输入中含有 % [ ] { } ; & + - " ( ) 的这些字符。
存储型跨站脚本漏洞,过滤特殊字符, SpringMvc防范XSS攻击
weixin_42267411的博客
09-26 2446
公司最近在搞测试,请的第三方测试机构。。。一顿操作猛如虎。。。 记录一次现在很多项目都容易忽略的存储型跨站脚本漏洞处理,就是XSS攻击漏洞,只要有用户输入的地方,就可能会有XSS漏洞,比如我们在留言板,或者发布文章的地方输入: <script>alert(1);</script> 当这条数据被存储到数据库,并且在页面上再次显示的时候,就会弹窗输出“1”,这只是简单的sc...
XSS跨站脚本攻击——及修复防御
cldimd的博客
03-20 1330
XSS漏洞相关基础知识-浏览器工作机制 浏览器常见的有IE、Firefox、Chrome等,这些浏览器在性能和效率上也许有较大差别,但是它们基本的工作机制是相同的。 浏览器主要是解析渲染Web中间件响应的HTML、JavaScript、CSS等资源。 XSS漏洞相关基础知识-HTML HTML 是用来描述网页的一种语言。Web 浏览器的作用是读取...
PHP反序列化漏洞——漏洞原理及防御措施
cldimd的博客
03-20 7102
序列化 将对象转换字符串 反序列化 将特定格式的字符串转换成对象 什么是反序列化漏洞 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可...
WEB漏洞——XXE
qq_63594215的博客
04-12 1611
本次文章主要介绍XXE漏洞的原理,利用以及防御的过程,另外还有介绍一点XML的基础知识,详情请见下文。a) xml,eXtensible Markup Language,可扩展标记语言,是一种标记语言,使用简单标记描述数据b) xml是一种非常灵活的语言,没有固定的标签,所有标签都可以自定义c) 通常,xml被用于信息的传递和记录,因此,xml经常被用于充当配置文件如果把HTML和XML进行对比的话,HTML进行对比的话,HTML旨在显示数据信息,而XML旨在用来进行数据的传输和存储。
目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
u012465383的博客
01-12 4968
直接写过滤器: package com.todaytech.yth.gdsd.base.Filter; import java.io.IOException; import java.util.Iterator; import java.util.Map; import javax.servlet.Filter; import javax.servlet.FilterChain; import
跨站点脚本(XSS)防范
xinyi0622的博客
04-02 841
XSS的类型:反射型XSS、存储型XSS、DOM型XSS 跨站点脚本防范的基本原则: 一切的输入/输出都是有害的,不要信任任何输入/输出数据。 所有传递过程都不能保障无侵入,执行前、存储前、显示前都要进行“数据清洁”。 所有的数据校验、处理工作要在前端和服务器端两次进行。 目前所有的XSS通过com.keegoo.core.util.XSSUtil来过滤。 DOM-based XSS的防...
【java工具类】网站安全---将特殊字符编码成为html实体
一名普通码农的菜地
05-06 1830
上两篇文章已经提到javascript的xss攻击问题,针对于 普通文本 假如我要直接在div里面显示用户的输入的信息,譬如: [html] view plaincopy div class='userName'>%=userName%>div>   这种情况,即使用户的userName是:
跨站脚本攻击漏洞
Zxdwr520的博客
07-30 519
漏洞描述:由于系统没有对漏洞参数进行任何的特殊符号以及敏感字符串的过滤而导致的 如在输入框中输入:<script type="text/javascript">alert(1);</script> 会弹框显示1 解决办法: 对输入框输入的value值进行过滤特殊字符,这样在用户输入特殊字符后会自动清除掉 function stringFilterChart(str) { var pattern = new RegExp("[`~!@#$^&*=|{}...
项目里安全扫描出漏洞的各种解决方案(host攻击 跨站脚本攻击以及sql注入 重放攻击
qq_42303467的博客
09-24 974
1 不安全的HTTP方法 检测到未禁用 OPTIONS 等 HTTP 方法 解决方式: 1.在web.xml中增加 <security-constraint> <web-resource-collection> <web-resource-name>dmsbSec</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT<
替换输入字符串中的危险字符
一光年
11-15 2791
SQL注入是一种常规性的攻击,通过此方法一些不法用户可以检索他人的数据,改变服务器的设置,或者有意破坏他人的服务器。SQL注入式攻击不是SQL Server的问题,而是不适当的程序造成的。   本实例通过替换字符串中的危险字符来防止SQL语句的注入,提高程序的安全性。运行来实例,在“用户名”文本框中输入“11‘or’1‘=’1”,并选中“替换”单选按钮,单击“登录”按钮后将显示登录失败,如
Format_String_Attack_Lab
Yuhan2001的优快云博客
12-05 4685
软件安全课程实验:Format_String_Attack_Lab; 版本:SeedUbuntu20.04; 课本:计算机安全导论:深度实践;
格式化字符串漏洞攻击
从来不在调
03-20 2499
格式化字符串漏洞攻击,主要有以下三点。 1 拒绝服务攻击 2 查看内存攻击 3 写入任意内存攻击 我们这要说一下危害最大的任何写入内存攻击。 注意:最新版的Linux,先关闭地址随机化保护和利用GCC 编译时打开-z execstack 代码如下: 如大家所见,我把存在漏洞的函数规定为折构函数(程序结束后,协助程序完成一些期望的工作),这样子的化,我们不到那可以重写内存,还可以执
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值