跨站脚本攻击的方法和防御

最新推荐文章于 2023-01-16 23:10:44 发布
最新推荐文章于 2023-01-16 23:10:44 发布
阅读量1.2k 收藏
点赞数

<body><H3>留言內容</H3><fieldset><h2><% out.print(request.getParameter("message"));%></h2></fieldset></body>

攻击方法1

使用者可以輸入Script語法,造成XSS的攻擊。

攻击方法2

使用者可能留下惡意連結,讓其他的瀏覽者點閱後導向惡意網站。

 

解决方案1

較常用的手段就是進行輸入資料的過濾,將危險字元進行替換,程式碼如下:

<body>
<H3>留言內容</H3>
<fieldset><h2>
<% 
String message = request.getParameter("message");
message = message.replace ('<',' '); 
message = message.replace ('>',' '); 
message = message.replace ('"',' ');
message = message.replace ('\'',' ');
message = message.replace ('/',' ');
message = message.replace ('%',' '); 
message = message.replace (';',' '); 
message = message.replace ('(',' '); 
message = message.replace (')',' '); 
message = message.replace ('&',' '); 
message = message.replace ('+','_'); 
out.print(message);
%>
</h2>
</fieldset>
</body>
 

解决方案2

利用正規函式,只顯示允許使用者輸入指定的字元:

<H3>留言內容</H3>
<fieldset><h2>
<% 
String message = request.getParameter("message");
if(isValidInput(message)){
	out.print(message);
}
else
	out.print("you have WRONG Input!");
 
%>
</h2>
</fieldset>
<%!
public boolean isValidInput(String str) 
{ 
if(str.matches("[a-zA-Z0-9 ]+")) return true; 
else return false; 
}
%>

 

 

跨站脚本攻击(Cross-Site Scripting)问题解决方案
uote_e的博客
09-20 801
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,攻击者通过在受信任网站上注入恶意脚本,使用户在浏览器中执行这些恶意脚本,从而获取用户的敏感信息或进行其他恶意行为。在开发Web应用程序时,我们应该始终牢记安全性,并采取适当的措施来保护用户数据系统免受跨站脚本攻击的威胁。在将用户输入的数据输出到网页上时,必须进行适当的编码转义,以防止浏览器将其解析为可执行的脚本。例如,如果用户输入的是一个文本字段,可以编写一个函数来过滤掉HTML标签特殊字符,只保留纯文本信息。
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
如何防止跨站点脚本攻击
大明的博客
08-21 2226
转自:http://www.freebuf.com/articles/web/15188.html 1. 简介 跨站点脚本(XSS)是当前web应用中最危险最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏
xss介绍
songxiaomianbao的博客
08-24 951
详情介绍: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话cookie等各种内容...
跨站脚本攻击原理、攻击过程及防御方法简介
seek_2022的博客
05-03 9095
文章目录一、XSS简介(一)什么是XSS?(二)XSS的危害(三)XSS的分类(四)XSS的特性(五)XSS攻击过程二、如何防御XSS攻击?三、本文小结 一、XSS简介 (一)什么是XSS? Cross-Site Scripting,简称为XSS或跨站脚本或跨站脚本攻击,是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。通常安全圈内的人喜欢称其为前端注入。 前端注入:用户输入的数据被当做前端代码执行(一般是当做JS代码执行)。 前端的三种代码中,出现XSS漏洞时,90%的情况下,注入的代码是被当
XSS跨站脚本攻击原理及防护方法
lovechuanyu的专栏
10-28 8997
概念:     XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。 原理:     XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
也谈跨站脚本攻击防御
01-02
网络上曾经有过关于跨站脚本攻击防御的文章,但是随着攻击技术的进步,以前的关于跨站脚本攻击的看法与理论已经不能满足现在的攻击与防御的需要了,而且由于这种对于跨站脚本认识上的混乱,导致现在很多的程序包括...
XSS跨站脚本攻击剖析与防御.docx
09-16
### XSS跨站脚本攻击剖析与防御 #### 一、XSS攻击概述 跨站脚本(Cross Site Scripting,简称XSS)攻击是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意脚本注入到看似可信的网站上。当用户浏览这些被注入...
跨站脚本攻击(XSS)几种解决方案浅析
零度的博客专栏
08-04 1万+
一、概述        Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分:攻击者web站点,跨站脚本包含三个部分:攻击者,客户web站点。跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。   二、XSS攻击原理 一个get请求: GET /welcome.cgi?name=Joe%20Hacker
XSS 跨站脚本攻击及防范
11-13
XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶 意html 代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而 达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。
XSS 跨站脚本攻击防御解决方案
03-26
XSS 跨站脚本攻击防御解决方案 跨站脚本攻击(Cross Site Scripting),为不层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
跨站脚本攻击实例解析
12-29
Web安全深度剖析 跨站脚本攻击实例解析 跨站脚本攻击实例解析
XSS跨站之原理分类及攻击手法
YkingH的博客
11-09 3682
web-xss跨站之原理分类及攻击手法 XSS简介 跨站脚本攻击(Cross Site Script),为层叠样式表区分,安全领域叫做“XSS”。 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而在浏览网页时控制用户浏览器的一种攻击。一开始攻击的演示示例是跨域的,而现在由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不重要。 XSS原理解析 攻击者通过向web页面中注入JavaScript代码(或者ActionScript、VBScript),来获取用户的
XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决
热门推荐
飞上云端看彩虹
01-22 7万+
XSS(跨站脚本)漏洞详解 XSS的原理分类 跨站脚本攻击XSS(Cross Site Scripting),为了不层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户...
跨站脚本攻击漏洞(XSS):基础知识防御策略
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础篇
跨站脚本攻击
qq_39249347的博客
07-11 1489
跨站脚本攻击 跨站脚本攻击是一种代码注入攻击,这种攻击通常涉及三个实体:攻击者、被攻击用户目标网站。 一般而言,攻击者必须找到将自己的恶意代码经由目标网站注入目标浏览器的方法,这类攻击被称为跨站脚本攻击。 攻击者有两种典型的方法通过目标网站将它们的代码注入目标用户的浏览器中:一种称为反射型XSS,另一种称为存储型XSS。 反射型XSS: 许多网站都有反射行为,也就说它们从用户那里接受输入,执行一些操作,然后向用户发送响应网页,用户的输入也被包含在响应网页里。 攻击者可以在输入中混入Javascrip
漏洞解决方案-跨站脚本攻击
smart的博客
08-11 6274
漏洞解决方案-跨站脚本攻击跨站脚本攻击1.风险分析2.详细描述3.解决方案 跨站脚本攻击 1.风险分析 跨站脚本可能造成用户信息泄露(包括我行内部行员的用户名、密码泄露),配置更改,cookie窃取等造成危害,甚至能够用于对Web服务器进行DOS攻击。黑客也可利用获取的用户信息对我行系统进行进一步攻击。 2.详细描述 跨站脚本发生在以下两种情况: 数据通过不可靠的源进入Web application,大多数情况下是web request。 包含在动态内容中的数据在没有经过安全检测就发送给网络用户。
跨站脚本攻击(XSS)——常见网站攻击手段原理与防御
guugle2010的专栏
04-10 8440
主要是依靠一切可能的手段,将浏览器中可以执行的脚本(javascript)植入到页面代码中,从而对用户客户端实施攻击。这才是我认为在目前这个“大前端时代”xss攻击的定义。 实际上黑客攻击这种行为从本质上讲,就是想尽一切手段在别人的代码环境中执行自己的代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值