之前在做项目的时候有遇到一些安全问题,XSS注入就是其中之一

那么,什么是XSS注入呢?

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 ...

跨站脚本攻击的分类主要有:存储型XSS、反射型XSS、DOM型XSS

XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为,通常难以看到XSS漏洞的威胁,而该病毒则将其发挥得淋漓尽致。

通俗点讲,就是 恶意用户在某个表单或者公共区域输入了 可执行的html/js代码,窃取用户信息或者攻击网站

比如评论功能

假如我在评论里输入了一段可执行的script,让他弹出 123,当我把评论提交,如果没有网站没有做处理的话,那么我的脚本就会当成评论展示给其他人看,但是它在页面执行了,然后大伙一到我的评论页面就会弹出 123.

详细的各种情况可以看看这篇文章  web安全测试之xss

如何防御XSS注入

主要就是进行过滤,对可能引起XSS的注入进行过滤

 import java.net.URLEncoder;

 /**

  * 过滤非法字符工具类

  *

  */

 public class EncodeFilter {

     //过滤大部分html字符

     public static String encode(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             switch (ch) {

                 case '&': sb.append("&amp;");

                     break;

                 case '<': sb.append("&lt;");

                     break;

                 case '>': sb.append("&gt;");

                     break;

                 case '"': sb.append("&quot;");

                     break;

                 case '\'': sb.append("'");

                     break;

                 case '/': sb.append("/");

                     break;

                 default: sb.append(ch);

             }

         }

         return sb.toString();

     }

     //js端过滤

     public static String encodeForJS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             // do not encode alphanumeric characters and ',' '.' '_'

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9' ||

                     ch == ',' || ch == '.' || ch == '_') {

                 sb.append(ch);

             } else {

                 String temp = Integer.toHexString(ch);

                 // encode up to 256 with \\xHH

                 if (ch < 256) {

                     sb.append('\\').append('x');

                     if (temp.length() == 1) {

                         sb.append('0');

                     }

                     sb.append(temp.toLowerCase());

                 // otherwise encode with \\uHHHH

                 } else {

                     sb.append('\\').append('u');

                     for (int j = 0, d = 4 - temp.length(); j < d; j ++) {

                         sb.append('0');

                     }

                     sb.append(temp.toUpperCase());

                 }

             }

         }

         return sb.toString();

     }

     /**

      * css非法字符过滤

      * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters

     */

     public static String encodeForCSS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             // check for alphanumeric characters

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9') {

                 sb.append(ch);

             } else {

                 // return the hex and end in whitespace to terminate

                 sb.append('\\').append(Integer.toHexString(ch)).append(' ');

             }

         }

         return sb.toString();

     }

     /**

      * URL参数编码

      * http://en.wikipedia.org/wiki/Percent-encoding

      */

     public static String encodeURIComponent(String input) {

         return encodeURIComponent(input, "utf-8");

     }

     public static String encodeURIComponent(String input, String encoding) {

         if (input == null) {

             return input;

         }

         String result;

         try {

             result = URLEncoder.encode(input, encoding);

         } catch (Exception e) {

             result = "";

         }

         return result;

     }

     public static boolean isValidURL(String input) {

         if (input == null || input.length() < 8) {

             return false;

         }

         char ch0 = input.charAt(0);

         if (ch0 == 'h') {

             if (input.charAt(1) == 't' &&

                 input.charAt(2) == 't' &&

                 input.charAt(3) == 'p') {

                 char ch4 = input.charAt(4);

                 if (ch4 == ':') {

                     if (input.charAt(5) == '/' &&

                         input.charAt(6) == '/') {

                         return isValidURLChar(input, 7);

                     } else {

                         return false;

                     }

                 } else if (ch4 == 's') {

                     if (input.charAt(5) == ':' &&

                         input.charAt(6) == '/' &&

                         input.charAt(7) == '/') {

                         return isValidURLChar(input, 8);

                     } else {

                         return false;

                     }

                 } else {

                     return false;

                 }

             } else {

                 return false;

             }

         } else if (ch0 == 'f') {

             if( input.charAt(1) == 't' &&

                 input.charAt(2) == 'p' &&

                 input.charAt(3) == ':' &&

                 input.charAt(4) == '/' &&

                 input.charAt(5) == '/') {

                 return isValidURLChar(input, 6);

             } else {

                 return false;

             }

         }

         return false;

     }

     static boolean isValidURLChar(String url, int start) {

         for (int i = start, c = url.length(); i < c; i ++) {

             char ch = url.charAt(i);

             if (ch == '"' || ch == '\'') {

                 return false;

             }

         }

         return true;

     }

 }

这个code不是我自己码的,是我之前在网上看到的 地址是 WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

当然主要看原理,你也可以写成js公共方法,在需要的地方过滤也一样

web安全之XSS注入的更多相关文章

  1. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  2. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  3. Web攻防之XSS,CSRF,SQL注入

    摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨 ...

  4. Web攻防之XSS,CSRF,SQL注入(转)

    摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨 ...

  5. 【web安全】第一弹:利用xss注入获取cookie

    首先一定要先来吐槽一下tipask系统.这是一枚开源的类似百度知道的系统,但是漏洞多多,最基本的XSS注入都无法防御. 言归正传: [准备1] cookie接收服务器. 平时喜欢用sae,所以在sae ...

  6. Web安全测试之XSS

    Web安全测试之XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞.指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此 ...

  7. Web 安全之 XSS 攻击与防御

    前言 黑客,相信大家对这一名词并不陌生,黑客们往往会利用 Web 应用程序的漏洞来攻击咱们的系统.开放式 Web 应用程序安全项目(OWASP, Open Web Application Securi ...

  8. 初级安全入门——XSS注入的原理与利用

    XSS的简单介绍 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者 ...

  9. Java Filter过滤xss注入非法参数的方法

    http://blog.csdn.NET/feng_an_qi/article/details/45666813 Java Filter过滤xss注入非法参数的方法 web.xml: <filt ...

随机推荐

  1. raiDrive添加坚果云

    把坚果云网盘映射到本地. 使用raidrive 中webDAV添加坚果云. 1.登录自己的坚果云网页版,点“安全选项”,右侧有第三方应用管理,生成密码,按照示例填入第三方应用即可. 2.注意:暂时此处 ...

  2. java 判断对象是否是某个类的类型两种方法

    第一种: instanceof 运算符是用来在运行时指出对象是否是特定类的一个实例.instanceof通过返回一个布尔值来指出,这个对象是否是这个特定类或者是它的子类的一个实例. 用法: resul ...

  3. windows socket扩展函数

    1.AcceptEx() AcceptEx()用于异步接收连接,可以取得客户程序发送的第一块数据. BOOL AcceptEx( _In_  SOCKET       sListenSocket,   ...

  4. Spring Boot项目Maven Build报错的解决方法

    问题1, [ERROR]Failed to execute goal org.apache.maven.plugins:maven-surefire-plugin:2.21.0:test (defau ...

  5. x86_64汇编调试程序初步

    寄存器说明: rdi 存第1个参数(值或地址) rsi 存第2个参数 rdx 存第3个参数 rcx 存第4个参数 r8 存第5个参数 r9 存第6个参数 rax 第1个返回值 rdx 第2个返回值 r ...

  6. jquery扩展实现input框字符长度限制中文2个字符,英文1个字符

    <!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8" ...

  7. LRU ,LRUW,CKPT-Q

    原文出处:http://www.itpub.net/thread-1631537-1-1.html    http://www.linuxidc.com/Linux/2012-07/66767.htm ...

  8. Android Studio自定义组合控件

    在Android的开发中,为了能够服用代码,会把有一定共有特点的控件组合在一起定义成一个自定义组合控件. 本文就详细讲述这一过程.虽然这样的View的组合有一个粒度的问题.粒度太大了无法复用,粒度太小 ...

  9. Java数据库技术

    JDBC即Java数据库连接     是接口,用于执行SQL语句,包含Java写的类和界面.几乎可以把SQL传给任何数据库,不用单独编写SQL.     用处,1是与数据库建立连接,2是向数据库发送S ...

  10. phpwind部署问题

    1. 提示"PDO_Mysql 未安装" wamp安装后,首选确保在wamp/php/ext/目录下存在"php_pdo.dll"和"php_pdo_ ...