js解决跨站点脚本编制问题
1.前台处理(容易绕过):
<script type="text/javascript">
$(document).ready(function(){
var url=window.location.href; window.location.href=HTMLEnCode(url);
}); function HTMLEnCode(str) {
var s = "";
if (str.length == ) return "";
s = str.replace(/&/g, ">");
s = s.replace(/</g, "");
s = s.replace(/>/g, "");
s = s.replace(/ /g, "");
s = s.replace(/\"/g, "");
s = s.replace(/\'/g, "");
s = s.replace(/\n/g, "");
s = s.replace(/\//g, "");
s = s.replace(/\(/g, "");
s = s.replace(/\)/g, "");
s = s.replace(/\=/g, ""); return s;
} });
</script>
2.后台处理:
/**
* 危险字符过滤方法
* @param str
* @return
* @throws Exception
*/
public static String dangerousCharacterFilter(String str) {
//一种解决SQL盲注的后台过虑,其方式就是将可能出现的非法字符进行规制
//java代码替换特殊字符
//str="^&h\\/!@#$%^&*()+|/jgfj&%fgd''$#$@!)(}|";
if(str!=null){
str = str.replaceAll("(\\|)", "");
str = str.replaceAll("(\\&)", "");
str = str.replaceAll("(\\;)", "");
str = str.replaceAll("(\\$)", "");
str = str.replaceAll("(\\%)", "");
str = str.replaceAll("(\\@)", "");
str = str.replaceAll("(\\')", "");
str = str.replaceAll("(\\\")", "");
str = str.replaceAll("(\\>)", "");
str = str.replaceAll("(\\<)", "");
str = str.replaceAll("(\\))", "");
str = str.replaceAll("(\\()", "");
str = str.replaceAll("(\\+)", "");
//str = str.replaceAll("(\\CR)", ""); //回车符 ASCII 0x0d
//str = str.replaceAll("(\\LF)", ""); //换行 ASCII 0x0a
str = str.replaceAll("(\\,)", "");
str = str.replaceAll("(\\\\)", "");
str = str.replaceAll("(\\#|$)", "");
}
return str;
}
3.添加过滤器(暂时没做)
js解决跨站点脚本编制问题的更多相关文章
- 使用过滤器解决SQL注入和跨站点脚本编制
1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...
- 跨站点脚本编制-XSS 描述及解决方法
跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...
- 跨站点脚本编制实例(AppScan扫描结果)
最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中有很多是关于跨站点脚本编制问题的.下面就把这块东西分享出来. 原创文章,转载请注明 ------------------ ...
- 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)
1. 简介 XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS. XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...
- 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于Jsoup)
1. 跨站点脚本编制 风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务. 原因:未对用户输入正确执行危险字符清 ...
- 跨站点脚本攻击XSS
来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...
- ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...
- 【漏洞三】跨站点脚本(XSS)攻击
[漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...
- 网站跨站点脚本,Sql注入等攻击的处理
从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可: http://bbs.webscan.360.cn/forum.p ...
随机推荐
- set是无序集合,放入set中的元素通过iterator输出时候是无序的
set是无序集合,放入set中的元素通过iterator输出时候是无序的 HashMap<String , String> hashMap = new HashMap<String ...
- wget 下载文件重进行命名
wget在下载的时候就重命名的: wget -c "www.baidu.com" -O baidu.index.html 保存输出日至,可以使用: wget -c "ww ...
- Linux使用RPM安装软件
什么是RMP? RPM 的为Redhat Package Manager (RPM软件包管理器)的缩写. RPM包,这种软件包就像windows的EXE安装文件一样,各种文件已经编译好,并打了包,哪个 ...
- EntityFramework:值语义的实体如何修改?
背景 现在很流行值对象,值对象有如下特点:开发简单.使用简单和多线程安全.我试着让 EntityFramework 中的实体保持值语义,这样的话,对值语义实体的修改就应当等于“整体替换”,好像有点问题 ...
- Js组件layer的使用
作为独立组件使用 layer 引入好layer.js后,直接用即可 <script src="layer.js"></script> <script& ...
- linux如何后台运行进程,而且不随终端关闭而关闭
参考:http://www.cnblogs.com/kaituorensheng/p/3980334.html 使用命令nohup:no hang up,表示关闭终端后,进程并不随着终端关闭而关闭 f ...
- 一次Dapper高并发测试报告记录. 结果....
一直听说dapper的数据处理能力很强. 我也一直很喜欢. 不过最近的一次压力测试却出乎我的意料.... 好久没写东西,感觉自己都不知道怎么表达自己的意思了. 另外 这次的测试也是自己才开始的 . ...
- Android -- Android JUint 与 Sqlite
创建一个数据库 public PersonSQLit ...
- .NET-MVC站点发布注意事项
在进行MVC站点发布的过程中需要注意bin文件,使用vs2013自带的发布功能容易漏掉一些dll文件,所以在发布之后需要将程序的bin目录下的文件拷贝到发布好的iis站点下面
- Android:Volley源代码解析
简单实例 Volley是一个封装HttpUrlConnection和HttpClient的网络通信框架,集AsyncHttpClient和Universal-Image-Loader的长处于了一身.既 ...