之前在做项目的时候有遇到一些安全问题,XSS注入就是其中之一

那么,什么是XSS注入呢?

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 ...

跨站脚本攻击的分类主要有:存储型XSS、反射型XSS、DOM型XSS

XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为,通常难以看到XSS漏洞的威胁,而该病毒则将其发挥得淋漓尽致。

通俗点讲,就是 恶意用户在某个表单或者公共区域输入了 可执行的html/js代码,窃取用户信息或者攻击网站

比如评论功能

假如我在评论里输入了一段可执行的script,让他弹出 123,当我把评论提交,如果没有网站没有做处理的话,那么我的脚本就会当成评论展示给其他人看,但是它在页面执行了,然后大伙一到我的评论页面就会弹出 123.

详细的各种情况可以看看这篇文章  web安全测试之xss

如何防御XSS注入

主要就是进行过滤,对可能引起XSS的注入进行过滤

 import java.net.URLEncoder;

 /**

  * 过滤非法字符工具类

  *

  */

 public class EncodeFilter {

     //过滤大部分html字符

     public static String encode(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             switch (ch) {

                 case '&': sb.append("&amp;");

                     break;

                 case '<': sb.append("&lt;");

                     break;

                 case '>': sb.append("&gt;");

                     break;

                 case '"': sb.append("&quot;");

                     break;

                 case '\'': sb.append("'");

                     break;

                 case '/': sb.append("/");

                     break;

                 default: sb.append(ch);

             }

         }

         return sb.toString();

     }

     //js端过滤

     public static String encodeForJS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             // do not encode alphanumeric characters and ',' '.' '_'

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9' ||

                     ch == ',' || ch == '.' || ch == '_') {

                 sb.append(ch);

             } else {

                 String temp = Integer.toHexString(ch);

                 // encode up to 256 with \\xHH

                 if (ch < 256) {

                     sb.append('\\').append('x');

                     if (temp.length() == 1) {

                         sb.append('0');

                     }

                     sb.append(temp.toLowerCase());

                 // otherwise encode with \\uHHHH

                 } else {

                     sb.append('\\').append('u');

                     for (int j = 0, d = 4 - temp.length(); j < d; j ++) {

                         sb.append('0');

                     }

                     sb.append(temp.toUpperCase());

                 }

             }

         }

         return sb.toString();

     }

     /**

      * css非法字符过滤

      * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters

     */

     public static String encodeForCSS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             // check for alphanumeric characters

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9') {

                 sb.append(ch);

             } else {

                 // return the hex and end in whitespace to terminate

                 sb.append('\\').append(Integer.toHexString(ch)).append(' ');

             }

         }

         return sb.toString();

     }

     /**

      * URL参数编码

      * http://en.wikipedia.org/wiki/Percent-encoding

      */

     public static String encodeURIComponent(String input) {

         return encodeURIComponent(input, "utf-8");

     }

     public static String encodeURIComponent(String input, String encoding) {

         if (input == null) {

             return input;

         }

         String result;

         try {

             result = URLEncoder.encode(input, encoding);

         } catch (Exception e) {

             result = "";

         }

         return result;

     }

     public static boolean isValidURL(String input) {

         if (input == null || input.length() < 8) {

             return false;

         }

         char ch0 = input.charAt(0);

         if (ch0 == 'h') {

             if (input.charAt(1) == 't' &&

                 input.charAt(2) == 't' &&

                 input.charAt(3) == 'p') {

                 char ch4 = input.charAt(4);

                 if (ch4 == ':') {

                     if (input.charAt(5) == '/' &&

                         input.charAt(6) == '/') {

                         return isValidURLChar(input, 7);

                     } else {

                         return false;

                     }

                 } else if (ch4 == 's') {

                     if (input.charAt(5) == ':' &&

                         input.charAt(6) == '/' &&

                         input.charAt(7) == '/') {

                         return isValidURLChar(input, 8);

                     } else {

                         return false;

                     }

                 } else {

                     return false;

                 }

             } else {

                 return false;

             }

         } else if (ch0 == 'f') {

             if( input.charAt(1) == 't' &&

                 input.charAt(2) == 'p' &&

                 input.charAt(3) == ':' &&

                 input.charAt(4) == '/' &&

                 input.charAt(5) == '/') {

                 return isValidURLChar(input, 6);

             } else {

                 return false;

             }

         }

         return false;

     }

     static boolean isValidURLChar(String url, int start) {

         for (int i = start, c = url.length(); i < c; i ++) {

             char ch = url.charAt(i);

             if (ch == '"' || ch == '\'') {

                 return false;

             }

         }

         return true;

     }

 }

这个code不是我自己码的,是我之前在网上看到的 地址是 WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

当然主要看原理,你也可以写成js公共方法,在需要的地方过滤也一样

web安全之XSS注入的更多相关文章

  1. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  2. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  3. Web攻防之XSS,CSRF,SQL注入

    摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨 ...

  4. Web攻防之XSS,CSRF,SQL注入(转)

    摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨 ...

  5. 【web安全】第一弹:利用xss注入获取cookie

    首先一定要先来吐槽一下tipask系统.这是一枚开源的类似百度知道的系统,但是漏洞多多,最基本的XSS注入都无法防御. 言归正传: [准备1] cookie接收服务器. 平时喜欢用sae,所以在sae ...

  6. Web安全测试之XSS

    Web安全测试之XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞.指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此 ...

  7. Web 安全之 XSS 攻击与防御

    前言 黑客,相信大家对这一名词并不陌生,黑客们往往会利用 Web 应用程序的漏洞来攻击咱们的系统.开放式 Web 应用程序安全项目(OWASP, Open Web Application Securi ...

  8. 初级安全入门——XSS注入的原理与利用

    XSS的简单介绍 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者 ...

  9. Java Filter过滤xss注入非法参数的方法

    http://blog.csdn.NET/feng_an_qi/article/details/45666813 Java Filter过滤xss注入非法参数的方法 web.xml: <filt ...

随机推荐

  1. TryXXX模式(深入理解c#)

    .NET有几个模式很容易根据所涉及的方法名称来识别.例如,BeginXXX和EndXXX暗示着一个异步操作.TryXXX模式的用途在.net1.1升级到2.0期间进行了扩展.他是针对以下情况设计的:有 ...

  2. P3834 【模板】可持久化线段树 1(主席树)

    #include <bits/stdc++.h> #define read read() #define up(i,l,r) for(int i = (l);i <= (r);i++ ...

  3. 网络编程之IO模型

    IO模型的分类 blocking IO:阻塞IO nonblocking IO:非阻塞IO IO multiplexing:IO多路复用 signal driven IO:异步IO 通常情况下IO默认 ...

  4. Hadoop3集群搭建之——hive添加自定义函数UDF

    上篇: Hadoop3集群搭建之——虚拟机安装 Hadoop3集群搭建之——安装hadoop,配置环境 Hadoop3集群搭建之——配置ntp服务 Hadoop3集群搭建之——hive安装 Hadoo ...

  5. fastq-to-fasta转换及fasta拆分、合并

    格式转换: use awk :awk 'BEGIN{P=1}{if(P==1||P==2){gsub(/^[@]/,">");print}; if(P==4)P=0; P++ ...

  6. react native项目的创建和运行

    1.创建项目 react-native init projectName 2.运行项目 在AndroidStudio上运行安卓模拟器 cd projectName react-native run-a ...

  7. java常用设计模式八:代理模式

    一.概述 代理模式是指客户端并不直接调用实际的对象,而是通过调用代理,来间接的调用实际的对象. 其特征是代理类与委托类有同样的接口,真正的核心业务逻辑还是在实际对象里面. 二.为什么要使用代理模式 当 ...

  8. IntelliJ IDEA 2017版 spring-boot 2.0.3 邮件发送搭建,概念梳理 (二)

    第二部分 邮件发送历史   一.第一封邮件   1.1969年10月,世界上的第一封电子邮件    1969年10月世界上的第一封电子邮件是由计算机科学家Leonard K.教授发给他的同事的一条简短 ...

  9. git服务器使用

    服务器版本:CentOS6.3 root用户密码:123456 服务器地址:192.168.1.125 搭建Git服务器参考:搭建Git服务器 使用git服务器首先要克隆仓库,即添加一个远程仓库,参考 ...

  10. 实例讲解Silverlight 初始控件如何获得焦点

    这个问题本来是在我实际的项目中遇到过的,但这其实是当初项目要求,要求一进入就要使得在用户名那个文字框中聚焦,而不是再用鼠标去点击获得焦点,后来自己费了点时间解决了.本来我没太注意就过去了,没想到在QQ ...