之前在做项目的时候有遇到一些安全问题,XSS注入就是其中之一

那么,什么是XSS注入呢?

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 ...

跨站脚本攻击的分类主要有:存储型XSS、反射型XSS、DOM型XSS

XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为,通常难以看到XSS漏洞的威胁,而该病毒则将其发挥得淋漓尽致。

通俗点讲,就是 恶意用户在某个表单或者公共区域输入了 可执行的html/js代码,窃取用户信息或者攻击网站

比如评论功能

假如我在评论里输入了一段可执行的script,让他弹出 123,当我把评论提交,如果没有网站没有做处理的话,那么我的脚本就会当成评论展示给其他人看,但是它在页面执行了,然后大伙一到我的评论页面就会弹出 123.

详细的各种情况可以看看这篇文章  web安全测试之xss

如何防御XSS注入

主要就是进行过滤,对可能引起XSS的注入进行过滤

 import java.net.URLEncoder;

 /**

  * 过滤非法字符工具类

  *

  */

 public class EncodeFilter {

     //过滤大部分html字符

     public static String encode(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             switch (ch) {

                 case '&': sb.append("&amp;");

                     break;

                 case '<': sb.append("&lt;");

                     break;

                 case '>': sb.append("&gt;");

                     break;

                 case '"': sb.append("&quot;");

                     break;

                 case '\'': sb.append("'");

                     break;

                 case '/': sb.append("/");

                     break;

                 default: sb.append(ch);

             }

         }

         return sb.toString();

     }

     //js端过滤

     public static String encodeForJS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             // do not encode alphanumeric characters and ',' '.' '_'

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9' ||

                     ch == ',' || ch == '.' || ch == '_') {

                 sb.append(ch);

             } else {

                 String temp = Integer.toHexString(ch);

                 // encode up to 256 with \\xHH

                 if (ch < 256) {

                     sb.append('\\').append('x');

                     if (temp.length() == 1) {

                         sb.append('0');

                     }

                     sb.append(temp.toLowerCase());

                 // otherwise encode with \\uHHHH

                 } else {

                     sb.append('\\').append('u');

                     for (int j = 0, d = 4 - temp.length(); j < d; j ++) {

                         sb.append('0');

                     }

                     sb.append(temp.toUpperCase());

                 }

             }

         }

         return sb.toString();

     }

     /**

      * css非法字符过滤

      * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters

     */

     public static String encodeForCSS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             // check for alphanumeric characters

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9') {

                 sb.append(ch);

             } else {

                 // return the hex and end in whitespace to terminate

                 sb.append('\\').append(Integer.toHexString(ch)).append(' ');

             }

         }

         return sb.toString();

     }

     /**

      * URL参数编码

      * http://en.wikipedia.org/wiki/Percent-encoding

      */

     public static String encodeURIComponent(String input) {

         return encodeURIComponent(input, "utf-8");

     }

     public static String encodeURIComponent(String input, String encoding) {

         if (input == null) {

             return input;

         }

         String result;

         try {

             result = URLEncoder.encode(input, encoding);

         } catch (Exception e) {

             result = "";

         }

         return result;

     }

     public static boolean isValidURL(String input) {

         if (input == null || input.length() < 8) {

             return false;

         }

         char ch0 = input.charAt(0);

         if (ch0 == 'h') {

             if (input.charAt(1) == 't' &&

                 input.charAt(2) == 't' &&

                 input.charAt(3) == 'p') {

                 char ch4 = input.charAt(4);

                 if (ch4 == ':') {

                     if (input.charAt(5) == '/' &&

                         input.charAt(6) == '/') {

                         return isValidURLChar(input, 7);

                     } else {

                         return false;

                     }

                 } else if (ch4 == 's') {

                     if (input.charAt(5) == ':' &&

                         input.charAt(6) == '/' &&

                         input.charAt(7) == '/') {

                         return isValidURLChar(input, 8);

                     } else {

                         return false;

                     }

                 } else {

                     return false;

                 }

             } else {

                 return false;

             }

         } else if (ch0 == 'f') {

             if( input.charAt(1) == 't' &&

                 input.charAt(2) == 'p' &&

                 input.charAt(3) == ':' &&

                 input.charAt(4) == '/' &&

                 input.charAt(5) == '/') {

                 return isValidURLChar(input, 6);

             } else {

                 return false;

             }

         }

         return false;

     }

     static boolean isValidURLChar(String url, int start) {

         for (int i = start, c = url.length(); i < c; i ++) {

             char ch = url.charAt(i);

             if (ch == '"' || ch == '\'') {

                 return false;

             }

         }

         return true;

     }

 }

这个code不是我自己码的,是我之前在网上看到的 地址是 WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

当然主要看原理,你也可以写成js公共方法,在需要的地方过滤也一样

web安全之XSS注入的更多相关文章

  1. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  2. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  3. Web攻防之XSS,CSRF,SQL注入

    摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨 ...

  4. Web攻防之XSS,CSRF,SQL注入(转)

    摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨 ...

  5. 【web安全】第一弹:利用xss注入获取cookie

    首先一定要先来吐槽一下tipask系统.这是一枚开源的类似百度知道的系统,但是漏洞多多,最基本的XSS注入都无法防御. 言归正传: [准备1] cookie接收服务器. 平时喜欢用sae,所以在sae ...

  6. Web安全测试之XSS

    Web安全测试之XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞.指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此 ...

  7. Web 安全之 XSS 攻击与防御

    前言 黑客,相信大家对这一名词并不陌生,黑客们往往会利用 Web 应用程序的漏洞来攻击咱们的系统.开放式 Web 应用程序安全项目(OWASP, Open Web Application Securi ...

  8. 初级安全入门——XSS注入的原理与利用

    XSS的简单介绍 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者 ...

  9. Java Filter过滤xss注入非法参数的方法

    http://blog.csdn.NET/feng_an_qi/article/details/45666813 Java Filter过滤xss注入非法参数的方法 web.xml: <filt ...

随机推荐

  1. delphi 中如何访问另一个类中到私有方法?(转载)

    原始连接 http://rvelthuis.blogspot.tw/2018/01/accessing-private-methods-of-another.html Accessing privat ...

  2. 55.UIbutton点击切换颜色

    #import "ViewController.h" #define width_w     [UIScreen mainScreen].bounds.size.width #de ...

  3. 通俗理解 CPU && GPU

    CPU 力气大啥P事都能干,还要协调.GPU 上面那家伙的小弟,老大让他处理图形,这方面处理简单,但是量大,老大虽然能处理,可是老大只有那么几个兄弟,所以不如交给小弟处理了,小弟兄弟多,有数百至数千个 ...

  4. centos下利用yum安装LAMP(Linux+Apache+MySQL+PHP)及配置

    先说下我的实践配置,centos6.5(64位),联网 安装前准备:关闭防火墙 service iptables stop 安装MySQL 打开终端,root用户 1 yum install mysq ...

  5. 2018.11.05 bzoj3124: [Sdoi2013]直径(树形dp)

    传送门 一道sbsbsb树形dpdpdp 第一问直接求树的直径. 考虑第二问问的边肯定在同一条直径上均是连续的. 因此我们将直径记下来. 然后对于直径上的每一个点,dpdpdp出以这个点为根的子树中不 ...

  6. 2018.10.25 bzo1227: [SDOI2009]虔诚的墓主人(组合数学+扫描线+bit)

    传送门 有点难调啊.其实是我自己sb了 不过交上去1A1A1A还是平衡了一下心态. 所以这道题怎么做呢? 我们考虑对于一个点(x,y)(x,y)(x,y)如果这个点成为中心,正左/右/上/下分别有l/ ...

  7. springboot深入学习(三)-----docker

    一.spring data思路 spring data使用统一的api来对各种数据库存储技术进行数据访问操作提供了支持,包括oracle.mysql.redis.mongoDB等等.主要是通过spri ...

  8. ext中对json数据的处理解析

    看贴:http://blog.csdn.net/xieshengjun2009/article/details/5959687

  9. C# 编码标准(二)

    先八卦一下,昨天写了C# 编码标准(一),得到了@h82258652的补充,感到非常欣慰,一是感觉他的观点扩展了我的视野,丰富了我的看法,所以更坚定了我继续写博客的想法,由于是五笔打字,经常不写东西, ...

  10. 如何使用git提交代码

    如何使用Git管理代码 Git 是开发人员用来向代码库(msstash)中提交代码或者下载远端代码库中代码的工具. 如何使用git向代码库中提交我们修改后的代码呢? 1.如果是第一次使用git,那么需 ...