一、开场先科普下XSS

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

二、直接上代码实例

在线演示https://wall-wxk.github.io/blogDemo/2017/01/19/noEncode.html

<!DOCTYPE HTML>

<html>

<head>

<meta charset="utf-8">

<meta http-equiv="X-UA-Compatible" content="IE=edge"/>

<title>encode防止xss攻击</title>

</head>

<body>

	<input type="text" id="myInput" />

	<button onclick="toSubmit();">提交</button>

   	<p id="myText" class="demo">hello world!</p>

   	<script type="text/javascript">

   		function toSubmit(){

   			var myText = document.getElementById("myText"),

   				myInput = document.getElementById("myInput"),

   				inputValue = myInput.value;

   			myText.innerHTML = inputValue;

   		}

   	</script>

</body>

</html>

实例解释:这是网站生产环境抽离出来的简化代码。在公司的产品中,有很多输入框提供给用户输入一些自定义字符串。方便用户的同时,也会招惹一些黑客过来捣乱。最简单的就是xss注入攻击。

比如上面的实例,我在输入框直接输入内容 <h1>wall</h1>,得到的结果如下:

这种结果,肯定不是产品所想要的。

进一步鼓捣,输入内容 <script>alert('wall');</script>

如果这段字符串是保存在数据库里。那么下次用户刷新这个页面,alert方法将会被执行,也就是会弹出 wall 这个信息。

因为能插入js代码,那这个想象空间就很大了,几乎很多事都能干。

最简单的就是用js获取访问当前网站的用户的document.cookie,然后ajax发送到信息收集网站,那么用户就等于在裸泳了。

三、解决方式-对字符串进行转义后再输出

  • 1.在存储进数据库的时候,对字符串进行encode

    这种方式可以解决一部分问题,但是不够灵活。因为字符串有可能输出在html,也有可能输出在JavaScript代码中。
  • 2.在使用字符串的时候进行encode

    这种方式是根据使用场景,在前端输出时,按需求进行encode,灵活应对。

四、直接上encode方法

function encodeHtml(html){

  return html && html.replace ?

    (

      html.replace(/&/g, "&amp;") //转换&符号

      .replace(/ /g, "&nbsp;") // 转换空格

      .replace(/\b&nbsp;+/g, " ") // 转换多个空格为单个空格

      .replace(/</g, "&lt;") // 转换小于符号

      .replace(/>/g, "&gt;") // 转换大于符号

      .replace(/\\/g, "\") // 转换斜杠符号

      .replace(/\'/g, "'") // 转换单引号

      .replace(/\"/g, "&quot;") // 转换双引号

      .replace(/\n/g, "<br/>") // 转换换行符号

      .replace(/\r/g, "") //转换回车符号

    )

    : html;

}

代码的作用是把对应的特殊符号,转换为转义字符,而不是直接插入html中。

这样,不管用户输入什么内容,都可以直接转换成字符串输出在html中。

比如再次输入内容 <script>alert('wall');</script>,得到的结果如下:

perfect!直接把xss漏洞给堵上了!

五、科普下转义字符

更多内容,可以查看HTML转义字符表

在线演示https://wall-wxk.github.io/blogDemo/2017/01/19/xss.html

最后,附上完整的测试代码

<!DOCTYPE HTML>

<html>

<head>

<meta charset="utf-8">

<meta http-equiv="X-UA-Compatible" content="IE=edge"/>

<title>encode防止xss攻击</title>

</head>

<body>

    <input type="text" id="myInput" />

    <button onclick="toSubmit();">提交</button>

       <p id="myText" class="demo">hello world!</p>

       <script type="text/javascript">

           function toSubmit(){

               var myText = document.getElementById("myText"),

                   myInput = document.getElementById("myInput"),

                   inputValue = myInput.value;

               myText.innerHTML = encodeHtml(inputValue);

           }

           function encodeHtml(html){

            return html && html.replace ?

              (

                html.replace(/&/g, "&amp;") //转换&符号

                .replace(/ /g, "&nbsp;") // 转换空格

                .replace(/\b&nbsp;+/g, " ") // 转换多个空格为单个空格

                .replace(/</g, "&lt;") // 转换小于符号

                .replace(/>/g, "&gt;") // 转换大于符号

                .replace(/\\/g, "\") // 转换斜杠符号

                .replace(/\'/g, "'") // 转换单引号

                .replace(/\"/g, "&quot;") // 转换双引号

                .replace(/\n/g, "<br/>") // 转换换行符号

                .replace(/\r/g, "") //转换回车符号

              )

              : html;

           }

       </script>

</body>

</html>

原文入口:http://www.jianshu.com/p/6fa7622767c5

防御XSS攻击-encode用户输入内容的重要性的更多相关文章

  1. 认识与防御XSS攻击

    什么是xss攻击? XSS,即(Cross Site Scripting)中文名称为“跨站脚本攻击”.XSS的重点不在于跨站攻击而在于脚本攻击.攻击者可以利用 web应用的漏洞或缺陷之处,向页面注入恶 ...

  2. WEB安全 - 认识与防御XSS攻击

    目录 什么是xss攻击? XSS的危害 XSS攻击分类 xss攻击示例 反射型攻击 - 前端URL参数解析 反射型攻击 - 后端URL参数解析 注入型攻击 - 留言评论 如何规避xss攻击? 总结 什 ...

  3. 防御XSS攻击的七条原则

    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS ...

  4. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  5. 8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击

    views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user= ...

  6. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  7. 微信小程序 获得用户输入内容

    在微信小程序里,如何获得用户输入的内容?? js: document.getElementById("Content").value jq:$("#Content&quo ...

  8. Asp.net防御XSS攻击组件库

    一.AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下. 目前类库已融入到.netframework中,类库主页不再更新. 使用方法:使用Nuget ...

  9. c++之 scanf 接收用户输入内容

    该代码全部在Visual Studio 2015中编写,有关VS2015的安装后期在写相关的博客 scanf 介绍 在程序开发中,有时候需要通过获取用户输入的数据,进行对应的操作,scanf就是用来接 ...

随机推荐

  1. NiceMark——我的Markdown编辑器

    NiceMark--我的Markdown编辑器 闲来无事,写了一个Markdown编辑器.基于electron,完全采用Web前段技术(Html,css,JavaScript)实现.代码已托管在Git ...

  2. 《Web 前端面试指南》1、JavaScript 闭包深入浅出

    闭包是什么? 闭包是内部函数可以访问外部函数的变量.它可以访问三个作用域:首先可以访问自己的作用域(也就是定义在大括号内的变量),它也能访问外部函数的变量,和它能访问全局变量. 内部函数不仅可以访问外 ...

  3. Java 线程

    线程:线程是进程的组成部分,一个进程可以拥有多个线程,而一个线程必须拥有一个父进程.线程可以拥有自己的堆栈,自己的程序计数器和自己的局部变量,但不能拥有系统资源.它与父进程的其他线程共享该进程的所有资 ...

  4. Asp.net MVC 传递数据 从前台到后台,包括单个对象,多个对象,集合

    今天为大家分享下 Asp.net MVC 将数据从前台传递到后台的几种方式. 环境:VS2013,MVC5.0框架 1.基本数据类型 我们常见有传递 int, string, bool, double ...

  5. Hyper-V3:虚拟机的配置

    在Hyper-V成功新建一台虚拟机,在正式使用之前,必须配置VM使用的硬件资源,并授予用户访问VM的权限等,本文罗列出一些常见的配置,供读者参阅. 一,为虚拟机分配使用的内存 在Hyper-V Man ...

  6. DDD 领域驱动设计-商品建模之路

    最近在做电商业务中,有关商品业务改版的一些东西,后端的架构设计采用现在很流行的微服务,有关微服务的简单概念: 微服务是一种架构风格,一个大型复杂软件应用由一个或多个微服务组成.系统中的各个微服务可被独 ...

  7. 多线程条件通行工具——AbstractQueuedSynchronizer

    本文原创,转载请注明出处! 参考文章: <"JUC锁"03之 公平锁(一)> <"JUC锁"03之 公平锁(二)> AbstractOw ...

  8. Web安全相关(三):开放重定向(Open Redirection)

    简介 那些通过请求(如查询字符串和表单数据)指定重定向URL的Web程序可能会被篡改,而把用户重定向到外部的恶意URL.这种篡改就被称为开发重定向攻击.   场景分析 假设有一个正规网站http:// ...

  9. JAVA面试题

    在这里我将收录我面试过程中遇到的一些好玩的面试题目 第一个面试题:ABC问题,有三个线程,工作的内容分别是打印出"A""B""C",需要做的 ...

  10. 在 SharePoint Server 2016 本地环境中设置 OneDrive for Business

    建议补丁 建议在sharepoint2016打上KB3127940补丁,补丁下载地址 https://support.microsoft.com/zh-cn/kb/3127940 当然不打,也可以用O ...