web安全之XSS注入

之前在做项目的时候有遇到一些安全问题,XSS注入就是其中之一

那么,什么是XSS注入呢?

XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

跨站脚本攻击的危害:窃取cookie、放蠕虫、网站钓鱼 ...

跨站脚本攻击的分类主要有:存储型XSS、反射型XSS、DOM型XSS

XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么就存在XSS漏洞。这个利用XSS漏洞的病毒之所以具有重要意义是因为,通常难以看到XSS漏洞的威胁,而该病毒则将其发挥得淋漓尽致。

通俗点讲,就是 恶意用户在某个表单或者公共区域输入了 可执行的html/js代码,窃取用户信息或者攻击网站

比如评论功能

假如我在评论里输入了一段可执行的script,让他弹出 123,当我把评论提交,如果没有网站没有做处理的话,那么我的脚本就会当成评论展示给其他人看,但是它在页面执行了,然后大伙一到我的评论页面就会弹出 123.

详细的各种情况可以看看这篇文章  web安全测试之xss

如何防御XSS注入

主要就是进行过滤,对可能引起XSS的注入进行过滤

  1 import java.net.URLEncoder;
  2
  3 /**
  4  * 过滤非法字符工具类
  5  *
  6  */
  7 public class EncodeFilter {
  8
  9     //过滤大部分html字符
 10     public static String encode(String input) {
 11         if (input == null) {
 12             return input;
 13         }
 14         StringBuilder sb = new StringBuilder(input.length());
 15         for (int i = 0, c = input.length(); i < c; i++) {
 16             char ch = input.charAt(i);
 17             switch (ch) {
 18                 case ‘&‘: sb.append("&amp;");
 19                     break;
 20                 case ‘<‘: sb.append("&lt;");
 21                     break;
 22                 case ‘>‘: sb.append("&gt;");
 23                     break;
 24                 case ‘"‘: sb.append("&quot;");
 25                     break;
 26                 case ‘\‘‘: sb.append("'");
 27                     break;
 28                 case ‘/‘: sb.append("/");
 29                     break;
 30                 default: sb.append(ch);
 31             }
 32         }
 33         return sb.toString();
 34     }
 35
 36     //js端过滤
 37     public static String encodeForJS(String input) {
 38         if (input == null) {
 39             return input;
 40         }
 41
 42         StringBuilder sb = new StringBuilder(input.length());
 43
 44         for (int i = 0, c = input.length(); i < c; i++) {
 45             char ch = input.charAt(i);
 46
 47             // do not encode alphanumeric characters and ‘,‘ ‘.‘ ‘_‘
 48             if (ch >= ‘a‘ && ch <= ‘z‘ || ch >= ‘A‘ && ch <= ‘Z‘ ||
 49                     ch >= ‘0‘ && ch <= ‘9‘ ||
 50                     ch == ‘,‘ || ch == ‘.‘ || ch == ‘_‘) {
 51                 sb.append(ch);
 52             } else {
 53                 String temp = Integer.toHexString(ch);
 54
 55                 // encode up to 256 with \\xHH
 56                 if (ch < 256) {
 57                     sb.append(‘\\‘).append(‘x‘);
 58                     if (temp.length() == 1) {
 59                         sb.append(‘0‘);
 60                     }
 61                     sb.append(temp.toLowerCase());
 62
 63                 // otherwise encode with \\uHHHH
 64                 } else {
 65                     sb.append(‘\\‘).append(‘u‘);
 66                     for (int j = 0, d = 4 - temp.length(); j < d; j ++) {
 67                         sb.append(‘0‘);
 68                     }
 69                     sb.append(temp.toUpperCase());
 70                 }
 71             }
 72         }
 73
 74         return sb.toString();
 75     }
 76
 77     /**
 78      * css非法字符过滤
 79      * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters
 80     */
 81     public static String encodeForCSS(String input) {
 82         if (input == null) {
 83             return input;
 84         }
 85
 86         StringBuilder sb = new StringBuilder(input.length());
 87
 88         for (int i = 0, c = input.length(); i < c; i++) {
 89             char ch = input.charAt(i);
 90
 91             // check for alphanumeric characters
 92             if (ch >= ‘a‘ && ch <= ‘z‘ || ch >= ‘A‘ && ch <= ‘Z‘ ||
 93                     ch >= ‘0‘ && ch <= ‘9‘) {
 94                 sb.append(ch);
 95             } else {
 96                 // return the hex and end in whitespace to terminate
 97                 sb.append(‘\\‘).append(Integer.toHexString(ch)).append(‘ ‘);
 98             }
 99         }
100         return sb.toString();
101     }
102
103     /**
104      * URL参数编码
105      * http://en.wikipedia.org/wiki/Percent-encoding
106      */
107     public static String encodeURIComponent(String input) {
108         return encodeURIComponent(input, "utf-8");
109     }
110
111     public static String encodeURIComponent(String input, String encoding) {
112         if (input == null) {
113             return input;
114         }
115         String result;
116         try {
117             result = URLEncoder.encode(input, encoding);
118         } catch (Exception e) {
119             result = "";
120         }
121         return result;
122     }
123
124     public static boolean isValidURL(String input) {
125         if (input == null || input.length() < 8) {
126             return false;
127         }
128         char ch0 = input.charAt(0);
129         if (ch0 == ‘h‘) {
130             if (input.charAt(1) == ‘t‘ &&
131                 input.charAt(2) == ‘t‘ &&
132                 input.charAt(3) == ‘p‘) {
133                 char ch4 = input.charAt(4);
134                 if (ch4 == ‘:‘) {
135                     if (input.charAt(5) == ‘/‘ &&
136                         input.charAt(6) == ‘/‘) {
137
138                         return isValidURLChar(input, 7);
139                     } else {
140                         return false;
141                     }
142                 } else if (ch4 == ‘s‘) {
143                     if (input.charAt(5) == ‘:‘ &&
144                         input.charAt(6) == ‘/‘ &&
145                         input.charAt(7) == ‘/‘) {
146
147                         return isValidURLChar(input, 8);
148                     } else {
149                         return false;
150                     }
151                 } else {
152                     return false;
153                 }
154             } else {
155                 return false;
156             }
157
158         } else if (ch0 == ‘f‘) {
159             if( input.charAt(1) == ‘t‘ &&
160                 input.charAt(2) == ‘p‘ &&
161                 input.charAt(3) == ‘:‘ &&
162                 input.charAt(4) == ‘/‘ &&
163                 input.charAt(5) == ‘/‘) {
164
165                 return isValidURLChar(input, 6);
166             } else {
167                 return false;
168             }
169         }
170         return false;
171     }
172
173     static boolean isValidURLChar(String url, int start) {
174         for (int i = start, c = url.length(); i < c; i ++) {
175             char ch = url.charAt(i);
176             if (ch == ‘"‘ || ch == ‘\‘‘) {
177                 return false;
178             }
179         }
180         return true;
181     }
182
183 }

这个code不是我自己码的,是我之前在网上看到的 地址是 WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

当然主要看原理,你也可以写成js公共方法,在需要的地方过滤也一样

时间: 2024-08-10 19:06:05

web安全之XSS注入的相关文章

WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊 一.跨站脚本攻击(XSS) 跨站脚本攻击的原理 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时

Web攻防之XSS,CSRF,SQL注入

摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法. 关键字:SQL注入,XSS,CSRF 1.SQL注入 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令. 攻击者通过在应用程序预先定义好的SQ

Web攻防之XSS,CSRF,SQL注入(转)

摘要:对Web服务器的攻击也可以说是形形色色.种类繁多,常见的有挂马.SQL注入.缓冲区溢出.嗅探.利用IIS等针对Webserver漏洞进行攻击.本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法.关键字:SQL注入,XSS,CSRF1.SQL注入 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令. 攻击者通过在应用程序预先定义好的SQL语

Web安全测试之XSS

Web安全测试之XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞.指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等. 作为测试人员,需要了解XSS的原理,攻击场景,如何修复. 才能有效的防止XSS的发生. 阅读目录 XSS 是如何发生的 HTML Encode XSS 攻击场景 XSS漏洞的修复

Web应用进行XSS漏洞测试

转自:http://www.uml.org.cn/Test/201407161.asp 对 WEB 应用进行 XSS 漏洞测试,不能仅仅局限于在 WEB 页面输入 XSS 攻击字段,然后提交.绕过 JavaScript 的检测,输入 XSS 脚本,通常被测试人员忽略.下图为 XSS 恶意输入绕过 JavaScript 检测的攻击路径. 常见的 XSS 输入 XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");<

Java Filter过滤xss注入非法参数的方法

http://blog.csdn.NET/feng_an_qi/article/details/45666813 Java Filter过滤xss注入非法参数的方法 web.xml: [html] view plain copy <filter> <filter-name>XSSFiler</filter-name> <filter-class> com.paic.mall.web.filter.XssSecurityFilter </filter-c

Web安全之SQL注入攻击技巧与防范

在Web1.0时代,人们更多是关注服务器端动态脚本语言的安全问题,比如将一个可执行脚本(俗称Webshell)通过脚本语言的漏洞上传到服务器上,从而获得服务器权限.在Web发展初期,随着动态脚本语言的发展和普及,以及早期工程师对安全问题认知不足导致很多”安全血案”的发生,至今仍然遗留下许多历史问题,比如PHP语言至今仍然无法从语言本身杜绝「文件包含漏洞」(参见这里),只能依靠工程师良好的代码规范和安全意识. 伴随着Web2.0.社交网络.微博等一系列新型互联网产品的兴起,基于Web环境的互联网应

Web安全之XSS跨站脚本攻击

本文主要选择常见web攻击手段之一的XSS(跨站点脚本攻击)来进行讲解,说明其攻击原理,并提出相应的解决办法. XSS XSS 攻击,全称是"跨站点脚本攻击"(Cross Site Scripting),之所以缩写为 XSS,主要是为了和"层叠样式表"(Cascading Style Sheets,CSS)区别开,以免混淆. XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其他用户使用的页面中.XSS是针对Web站点的客户隐

XSS注入我也不怕不怕啦——PHP从框架层面屏蔽XSS的思考和实践

本文由腾讯WeTest团队提供,更多资讯可直接戳链接查看:http://wetest.qq.com/lab/ 微信号:TencentWeTest 对于新接触web开发的同学来说,XSS注入是一件非常头疼的事情.就算是web开发多年的老手,也不敢保证自己写的代码完全没有XSS注入的风险. 因为现在比较主流的XSS防治手段主要有两种,一种是在用户输入是将异常关键词过滤,另一种则是在页面渲染时将html内容实体化转义. 然而第一种方法一定程度上对业务数据要求相对较高,存在屏蔽数据和业务数据有冲突的情况