之前在做项目的时候有遇到一些安全问题,XSS注入就是其中之一

那么,什么是XSS注入呢?

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 ...

跨站脚本攻击的分类主要有:存储型XSS、反射型XSS、DOM型XSS

XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为,通常难以看到XSS漏洞的威胁,而该病毒则将其发挥得淋漓尽致。

通俗点讲,就是 恶意用户在某个表单或者公共区域输入了 可执行的html/js代码,窃取用户信息或者攻击网站

比如评论功能

假如我在评论里输入了一段可执行的script,让他弹出 123,当我把评论提交,如果没有网站没有做处理的话,那么我的脚本就会当成评论展示给其他人看,但是它在页面执行了,然后大伙一到我的评论页面就会弹出 123.

详细的各种情况可以看看这篇文章  web安全测试之xss

如何防御XSS注入

主要就是进行过滤,对可能引起XSS的注入进行过滤

 import java.net.URLEncoder;

 /**

  * 过滤非法字符工具类

  *

  */

 public class EncodeFilter {

     //过滤大部分html字符

     public static String encode(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             switch (ch) {

                 case '&': sb.append("&amp;");

                     break;

                 case '<': sb.append("&lt;");

                     break;

                 case '>': sb.append("&gt;");

                     break;

                 case '"': sb.append("&quot;");

                     break;

                 case '\'': sb.append("'");

                     break;

                 case '/': sb.append("/");

                     break;

                 default: sb.append(ch);

             }

         }

         return sb.toString();

     }

     //js端过滤

     public static String encodeForJS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             // do not encode alphanumeric characters and ',' '.' '_'

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9' ||

                     ch == ',' || ch == '.' || ch == '_') {

                 sb.append(ch);

             } else {

                 String temp = Integer.toHexString(ch);

                 // encode up to 256 with \\xHH

                 if (ch < 256) {

                     sb.append('\\').append('x');

                     if (temp.length() == 1) {

                         sb.append('0');

                     }

                     sb.append(temp.toLowerCase());

                 // otherwise encode with \\uHHHH

                 } else {

                     sb.append('\\').append('u');

                     for (int j = 0, d = 4 - temp.length(); j < d; j ++) {

                         sb.append('0');

                     }

                     sb.append(temp.toUpperCase());

                 }

             }

         }

         return sb.toString();

     }

     /**

      * css非法字符过滤

      * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters

     */

     public static String encodeForCSS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             // check for alphanumeric characters

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9') {

                 sb.append(ch);

             } else {

                 // return the hex and end in whitespace to terminate

                 sb.append('\\').append(Integer.toHexString(ch)).append(' ');

             }

         }

         return sb.toString();

     }

     /**

      * URL参数编码

      * http://en.wikipedia.org/wiki/Percent-encoding

      */

     public static String encodeURIComponent(String input) {

         return encodeURIComponent(input, "utf-8");

     }

     public static String encodeURIComponent(String input, String encoding) {

         if (input == null) {

             return input;

         }

         String result;

         try {

             result = URLEncoder.encode(input, encoding);

         } catch (Exception e) {

             result = "";

         }

         return result;

     }

     public static boolean isValidURL(String input) {

         if (input == null || input.length() < 8) {

             return false;

         }

         char ch0 = input.charAt(0);

         if (ch0 == 'h') {

             if (input.charAt(1) == 't' &&

                 input.charAt(2) == 't' &&

                 input.charAt(3) == 'p') {

                 char ch4 = input.charAt(4);

                 if (ch4 == ':') {

                     if (input.charAt(5) == '/' &&

                         input.charAt(6) == '/') {

                         return isValidURLChar(input, 7);

                     } else {

                         return false;

                     }

                 } else if (ch4 == 's') {

                     if (input.charAt(5) == ':' &&

                         input.charAt(6) == '/' &&

                         input.charAt(7) == '/') {

                         return isValidURLChar(input, 8);

                     } else {

                         return false;

                     }

                 } else {

                     return false;

                 }

             } else {

                 return false;

             }

         } else if (ch0 == 'f') {

             if( input.charAt(1) == 't' &&

                 input.charAt(2) == 'p' &&

                 input.charAt(3) == ':' &&

                 input.charAt(4) == '/' &&

                 input.charAt(5) == '/') {

                 return isValidURLChar(input, 6);

             } else {

                 return false;

             }

         }

         return false;

     }

     static boolean isValidURLChar(String url, int start) {

         for (int i = start, c = url.length(); i < c; i ++) {

             char ch = url.charAt(i);

             if (ch == '"' || ch == '\'') {

                 return false;

             }

         }

         return true;

     }

 }

这个code不是我自己码的,是我之前在网上看到的 地址是 WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

当然主要看原理,你也可以写成js公共方法,在需要的地方过滤也一样

web安全之XSS注入的更多相关文章

  1. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  2. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  3. Web攻防之XSS,CSRF,SQL注入

    摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨 ...

  4. Web攻防之XSS,CSRF,SQL注入(转)

    摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨 ...

  5. 【web安全】第一弹:利用xss注入获取cookie

    首先一定要先来吐槽一下tipask系统.这是一枚开源的类似百度知道的系统,但是漏洞多多,最基本的XSS注入都无法防御. 言归正传: [准备1] cookie接收服务器. 平时喜欢用sae,所以在sae ...

  6. Web安全测试之XSS

    Web安全测试之XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞.指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此 ...

  7. Web 安全之 XSS 攻击与防御

    前言 黑客,相信大家对这一名词并不陌生,黑客们往往会利用 Web 应用程序的漏洞来攻击咱们的系统.开放式 Web 应用程序安全项目(OWASP, Open Web Application Securi ...

  8. 初级安全入门——XSS注入的原理与利用

    XSS的简单介绍 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者 ...

  9. Java Filter过滤xss注入非法参数的方法

    http://blog.csdn.NET/feng_an_qi/article/details/45666813 Java Filter过滤xss注入非法参数的方法 web.xml: <filt ...

随机推荐

  1. Hadoop3集群搭建之——虚拟机安装

    现在做的项目是个大数据报表系统,刚开始的时候,负责做Java方面的接口(项目前端为独立的Java web 系统,后端也是Java web的系统,前后端系统通过接口传输数据),后来领导觉得大家需要多元化 ...

  2. 2018.11.02 洛谷P3952 时间复杂度(模拟)

    传送门 惊叹考场dubuffdubuffdubuff. 这题还没有梭哈难啊233. 直接按照题意模拟就行了. 代码: #include<bits/stdc++.h> using names ...

  3. 假期训练八(poj-2965递归+枚举,hdu-2149,poj-2368巴什博奕)

    题目一(poj-2965):传送门 思路:递归+枚举,遍历每一种情况,然后找出最小步骤的结果,与poj-1753类似. #include<iostream> #include<cst ...

  4. tomcat https 支持android 6.0及以上版本的配置方法

    <Connector port="443"  protocol="HTTP/1.1" SSLEnabled="true" scheme ...

  5. springboot深入学习(一)-----springboot核心、配置文件加载、日志配置

    一.@SpringBootApplication @SpringBootApplication是spring boot的核心注解,源码如下: 相当于:@Configuration+@EnableAut ...

  6. 用cglib包来为类产生动态代理类对象

    一:在JDK里也有动态代理的类和接口,是Proxy和InvocationHandler,但是Proxy只能为接口产生代理类,借助InvocationHandler的实现类来完成对类对象的代理: 但是在 ...

  7. 【repost】Chrome 控制台console的用法

    下面我们来看看console里面具体提供了哪些方法可以供我们平时调试时使用. 目前控制台方法和属性有: ["$$", "$x", "dir" ...

  8. Beta阶段第二篇Scrum冲刺博客-Day1

    1.站立式会议 提供当天站立式会议照片一张 2.每个人的工作 (有work item 的ID),并将其记录在码云项目管理中: 昨天已完成的工作. 张晨晨:交接进组 郭琪容:明确任务并学习 吴玲:明确接 ...

  9. QOpenGLFunctions的使用(2)

    QOpenGLFunctions的使用(2) 前一小结请参考:QOpenglFuncations(1) www.icmzn.com 本小节介绍相关的类: 1. The QGLContext class ...

  10. lowbit(x)

    int Lowbit(int x) { return x&(-x); } lowbit当中x,-x,补码,反码,傻傻分不清楚.我们先看看两个二进制数相减的问题 两个二进制数相减的相关问题 两个 ...