1.前台处理(容易绕过):

<script type="text/javascript">

 $(document).ready(function(){

 var url=window.location.href;

 window.location.href=HTMLEnCode(url);

});

function HTMLEnCode(str) {

var s = "";

if (str.length == ) return "";

s = str.replace(/&/g, "&gt;");

s = s.replace(/</g, "");

s = s.replace(/>/g, "");

s = s.replace(/ /g, "");

s = s.replace(/\"/g, "");

s = s.replace(/\'/g, "");

s = s.replace(/\n/g, "");

s = s.replace(/\//g, "");

s = s.replace(/\(/g, "");

s = s.replace(/\)/g, "");

s = s.replace(/\=/g, "");

return s;

} });

 </script>

2.后台处理:

    /**

     * 危险字符过滤方法

     * @param str

     * @return

     * @throws Exception

     */

    public static String dangerousCharacterFilter(String str) {

        //一种解决SQL盲注的后台过虑,其方式就是将可能出现的非法字符进行规制

        //java代码替换特殊字符

        //str="^&h\\/!@#$%^&*()+|/jgfj&%fgd''$#$@!)(}|";

        if(str!=null){

            str = str.replaceAll("(\\|)", "");

            str = str.replaceAll("(\\&)", "");

            str = str.replaceAll("(\\;)", "");

            str = str.replaceAll("(\\$)", "");

            str = str.replaceAll("(\\%)", "");

            str = str.replaceAll("(\\@)", "");

            str = str.replaceAll("(\\')", "");

            str = str.replaceAll("(\\\")", "");

            str = str.replaceAll("(\\>)", "");

            str = str.replaceAll("(\\<)", "");

            str = str.replaceAll("(\\))", "");

            str = str.replaceAll("(\\()", "");

            str = str.replaceAll("(\\+)", "");

            //str = str.replaceAll("(\\CR)", "");  //回车符 ASCII 0x0d

            //str = str.replaceAll("(\\LF)", "");  //换行 ASCII 0x0a

            str = str.replaceAll("(\\,)", "");

            str = str.replaceAll("(\\\\)", "");

            str = str.replaceAll("(\\#|$)", "");

       }

       return str;

    }

3.添加过滤器(暂时没做)

js解决跨站点脚本编制问题的更多相关文章

  1. 使用过滤器解决SQL注入和跨站点脚本编制

    1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...

  2. 跨站点脚本编制-XSS 描述及解决方法

    跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...

  3. 跨站点脚本编制实例(AppScan扫描结果)

    最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中有很多是关于跨站点脚本编制问题的.下面就把这块东西分享出来. 原创文章,转载请注明 ------------------ ...

  4. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

    1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS.   XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...

  5. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于Jsoup)

    1. 跨站点脚本编制   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务.   原因:未对用户输入正确执行危险字符清 ...

  6. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

  7. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  8. 【漏洞三】跨站点脚本(XSS)攻击

    [漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...

  9. 网站跨站点脚本,Sql注入等攻击的处理

    从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可: http://bbs.webscan.360.cn/forum.p ...

随机推荐

  1. nodejs之处理GET请求

    一个简单的httpserver.接收get请求,并返回解析之后的数据. 以下是服务的代码: var http = require("http"); var url = requir ...

  2. JavaScript中数组的各种操作方法

    [监测数组] 使用instanceof操作符,进行检测 ar arr = [1,2,3]; // arr = '非非'; if(arr instanceof Array){ console.log(' ...

  3. 《转》OpenStack Ceilometer 安装配置和API说明

    1.概述 Ceilometer是OpenStack中的一个子项目.它像一个漏斗一样.能把OpenStack内部发生的差点儿全部的事件都收集起来,然后为计费和监控以及其他服务提供数据支撑.Ceilome ...

  4. Google Chrome 39.0.2171.71 正式发布

    Google Chrome,又称Google浏览器,是一个由Google(谷歌)公司开发的网页浏览器.该浏览器是基于其他开源软件所撰写,包括WebKit,目标是提升稳定性.速度和安全性,并创造出简单且 ...

  5. JS是否存在方法重载

    java里面是存在重载的,那么js中呢?这个问题面试的时候会经常遇到.但是可以肯定的说,js中是不存在重载的,但是我们可以通过其他的方式来模拟重载,我们可以通过argument方法来实现. argum ...

  6. [Linux] Ubuntu下的文件比较工具--meld

    在ubuntu中需要比较文件的差异,于是安装meld apt-get install meld 安装完后,在/usr/bin/下找到meld,然后发送到桌面上, 或者在命令行执行meld命令 打开后选 ...

  7. MySQL索引优化案例

    这里我们分成三种情况进行分析,分别是单表,两表,三表 1.单表 CREATE TABLE IF NOT EXISTS `article`( `id` ) NOT NULL PRIMARY KEY AU ...

  8. HTML:基本的标签

    概述: <html></html>标准的语言格式,回环标签,有头和躯体部分,头里面一般显示标题title,躯体部分显示内容:背景色.文字.图片.超链接.表格.表单等. 可以直接 ...

  9. JavaScript 你不知道的事 -- 关于函数

    接上篇Javascript 你不知道的事,直接条列了: 每个函数创建时默认带有一个prototype属性,其中包含一个constructor属性,和一个指向Object对象的隐藏属性__proto__ ...

  10. java实现ssl单/双向认证通信[推荐]

    java实现ssl单/双向认证通信[推荐] 学习了:https://blog.csdn.net/zbuger/article/details/51695582 学习了:https://www.cnbl ...