`
高军威
  • 浏览: 181996 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

web安全防范之XSS漏洞攻击

阅读更多
原文出处:http://netsecurity.51cto.com/art/201301/378948.htm
这篇博客也不错:http://blog.csdn.net/ghsau/article/details/17027893

网站通常会遇到的攻击;攻击方法也很多;
原理:向网页内注入可执行代码,从而达到入侵目的。
危害:破坏页面结构,导致页面显示问题;
更严重的会盗取当前用户的cookie,导致你的账号被盗等;

function escape(html) {
		var codeSpan = /(^|[^\\])(`+)([^\r]*?[^`])\2(?!`)/gm;  
		var codeBlock = /(?:\n\n|^)((?:(?:[ ]{4}|\t).*\n+)+)(\n*[ ]{0,3}[^ \t\n]|(?=~0))/g;  
		var spans = [];  
		var blocks = [];  
		var text = String(html).replace(/\r\n/g, '\n')
			.replace('/\r/g', '\n');
		text = '\n\n' + text + '\n\n';
		texttext = text.replace(codeSpan, function(code) {
			spans.push(code);
			return '`span`';
		});  
		text += '~0';  
		return text.replace(codeBlock, function (code) {
			blocks.push(code);  
			return '\n\tblock';  
		})
		.replace(/&(?!\w+;)/g, '&')  
		.replace(/</g, '<')  
		.replace(/>/g, '>')  
		.replace(/"/g, '"')  
		.replace(/`span`/g, function() {
			return spans.shift();  
		})
		.replace(/\n\tblock/g, function() {
			return blocks.shift();
		})
		.replace(/~0$/,'')
		.replace(/^\n\n/, '')
		.replace(/\n\n$/, '');
	};


使用Apache的commons-lang.jar
StringEscapeUtils.escapeHtml(str);// 汉字会转换成对应的ASCII码,空格不转换
0
0
分享到:
评论

相关推荐

    XSS漏洞攻击与防护源代码

    XSS(Cross-site scripting)是一..."shiyaner"这个文件可能是包含了一些实验或示例代码,用于演示XSS漏洞的攻击方式以及如何防护。通过学习这些源代码,开发者可以更好地理解和实践XSS防护策略,提高Web应用的安全性。

    web安全之XSS攻击及防御pdf

    ### Web安全之XSS攻击及防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...

    第五第六式web安全之xss漏洞、命令执行漏洞专题.pdf

    这是Web安全中必须严格防范的漏洞之一,通常需要服务器端语言进行适当的输入验证和过滤来防止攻击。 这份文档主要是为腾讯培训课程提供的PPT讲义,旨在帮助学员们理解和防范Web应用程序中的XSS漏洞和命令执行漏洞,...

    XSS漏洞挖掘与安全防护.pdf

    XSS(Cross Site Scripting,跨站脚本攻击)是一种常见...在本议题中,XSS漏洞的深入浅出介绍将围绕形成机制、攻击手段和防御策略等方面展开,强调开发过程中如何避免和减少XSS漏洞的风险,保障Web应用的安全稳定运行。

    javaweb配置xssproject,完美解决安全检测报XSS漏洞

    XSSProject是一个专门针对XSS攻击防护的Java库,通过提供一系列的过滤规则和处理机制,帮助开发者构建更安全的Web应用。 首先,我们来了解一下XSSProject的核心功能。XSSProject主要包含以下几个方面: 1. **XSS...

    360webscan解决xss漏洞

    360 webscan是一款由360公司提供的网站安全检测工具,它可以扫描并报告WordPress等网站平台的XSS漏洞。当360 webscan检测到WordPress存在XSS漏洞时,就需要采取措施来修复这个问题,以保护网站的安全和用户的数据。 ...

    搜索框——不能忽视的XSS漏洞—搜索框所引起的XSS漏洞

    **XSS漏洞详解:搜索框的安全隐患** XSS(Cross-site scripting)是一种常见的网络安全漏洞,源于Web应用程序未能正确处理用户输入的数据,导致攻击者能够注入恶意脚本,进而影响其他用户的浏览器。这种漏洞最早...

    XSS漏洞扫描 XSS漏洞扫描

    XSS(Cross-Site Scripting)...XSS漏洞扫描是保障Web应用安全的重要环节,通过对整个应用的持续监控和修复,可以显著降低被攻击的风险。同时,结合其他安全措施,如SQL注入防护、访问控制等,可以构建更为坚固的防线。

    安全漏洞XSS攻击方法详解

    总结来说,XSS攻击是一种严重的安全威胁,它利用Web应用程序的漏洞,通过注入恶意脚本,影响用户浏览器的行为。理解XSS的工作原理、潜在危害以及防范措施对于维护网络安全至关重要。开发者需要实施严格的输入验证和...

    Web应用安全:XSS通过JavaScript攻击(实验).docx

    了解并防范XSS攻击对于保障Web应用安全至关重要。作为Web开发者,应始终对用户输入进行验证和过滤,使用安全的编码实践,防止恶意脚本的注入。同时,用户也需提高安全意识,不轻易点击来源不明的链接,定期更新...

    web漏洞之XSS_TEST漏洞实践练习代码

    Web漏洞中的XSS(Cross Site Scripting)攻击是一种常见的安全问题,主要针对Web应用程序。XSS允许攻击者在用户浏览器中注入恶意脚本,从而控制用户的会话、窃取敏感信息或者执行其他恶意操作。本资源"XSS_TEST漏洞...

    xss漏洞讲解.pdf

    7. XSS漏洞防护:学习XSS攻击的最终目的是为了更好地防护系统安全。文档介绍了预防和缓解XSS攻击的多种方法,包括输入验证、输出编码、使用内容安全策略(CSP)等。这些方法能够有效降低XSS攻击的风险。 8. WEB前端...

    测试文档(Xss漏洞)

    测试文档(XSS漏洞) XSS(Cross-site Scripting,跨站脚本攻击)是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意脚本,以便在...XSS攻击是一种常见的Web应用安全漏洞,需要我们格外小心地防范和处理。

    xss漏洞,网站安全编程,黑客编程

    综上所述,XSS漏洞是网站安全的重要威胁,开发者应掌握相应的安全编程技巧,了解黑客可能使用的攻击手法,并在项目开发过程中积极防御,保障用户的数据安全。通过学习如ASM、C/C++、C#、.NET和LAMP等编程语言,可以...

    XSS跨站脚本攻击漏洞修复方法

    ### XSS漏洞修复策略 1. **输入验证与过滤**: 对所有用户提交的数据进行严格的检查,限制特定字符或字符集,避免危险脚本的输入。 2. **输出编码**: 在将用户输入的数据展示在页面上时,应使用适当的编码方式...

    XSS漏洞

    标签中的“工具”可能指的是可以用来检测和防御XSS攻击的工具,如OWASP ZAP、Burp Suite等安全测试工具,它们可以帮助开发者识别潜在的XSS漏洞,并提供修复建议。 压缩包中的文件“PHP中SQL注入与跨站攻击的防范....

    xss注入讲解ppt.pptx

    xss 是一种常见的 web 应用安全漏洞,能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,从而达到恶意攻击用户的目的。xss 可以追溯到上世纪 90 年代,已经超过缓冲区溢出成为最流行的攻击方式。 xss 的...

    XSS攻击实例1

    在"WebApplication1"这个项目中,你可以通过分析代码和测试不同类型的XSS攻击,理解它们的工作方式,并学习如何有效地实施防护措施。实践是最好的老师,通过实际操作,你可以更深入地掌握这些概念并提升你的Web应用...

    Java防止xss攻击附相关文件下载

    尽量避免在JavaScript中动态生成HTML,因为这很容易引入XSS漏洞。如果必须这样做,使用模板引擎并确保所有变量都被适当的转义。 7. **输入验证**: 对用户输入进行严格的验证,比如限制长度、格式等,可以减少XSS...

Global site tag (gtag.js) - Google Analytics