`
xiemingmei
  • 浏览: 210545 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

预防WEB页面XSS漏洞的简单方式

阅读更多
输入的参数,必须经过转码才能输出到页面上,如果不经转换而原样直接输出到页面上,则会产生XSS漏洞。


比如:在输入框,输入姓名“张三confirm(123)”
如果直接在页面上输出的话,就会弹窗显示123,其实就是执行了用户设定的js操作了,这就产生了xss漏洞。

xss漏洞很好预防,只要在参数输出时转码就行了。


预防方式,只要输出时做处理:
(1)jstl:<c:out value="${name}" escapeXml="true"/>
(2)EL: ${fn:escapeXml(param)}
(3)工具类:org.apache.commons.lang.StringEscapeUtils.escapeXml(String)。


实质就是转换如下特殊字符:> , < , & , ", '


另外,重点注意区别
xml转义字符(包含了单引号):
&lt; < 小于号
&gt; > 大于号
&amp; & 和
&apos; ' 单引号
&quot; " 双引号



html转义字符:
< 小于 &lt;
> 大于 &gt;
& &符号 &amp;
" 双引号 &quot;
© 版权 &copy;
® 已注册商标 &reg;
™ 商标(美国) ™
× 乘号 &times;
÷ 除号 &divide;











分享到:
评论

相关推荐

    搜索框——不能忽视的XSS漏洞—搜索框所引起的XSS漏洞

    开发者应增强对XSS漏洞的认识,采取有效措施进行预防,保护用户数据安全。对于企业来说,定期进行安全审计和漏洞修复同样至关重要,以免遭受类似Samy蠕虫那样的大规模攻击,影响业务信誉和用户信任。

    XSS漏洞

    标题 "XSS漏洞" 描述了我们今天要深入探讨的主题——跨站脚本攻击(Cross-Site Scripting,简称XSS)。XSS是一种常见的网络安全漏洞,它允许恶意攻击者通过在网页上注入可执行的脚本来对用户进行攻击。攻击者通常...

    预防XSS攻击和SQL注入XssFilter

    攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...

    xss漏洞之进制转换

    XSS(Cross-site scripting)漏洞是现代Web应用中常见的安全问题,主要表现为攻击者通过注入恶意脚本到网页中,...总之,理解和预防XSS漏洞是Web开发中的关键环节,需要持续关注最新的攻击手段,并采取有效的防护措施。

    springboot整合XSS

    XSS是一种常见的网络攻击方式,通过注入恶意脚本到网页中,来窃取用户数据或者执行恶意操作。 一、理解XSS攻击 XSS攻击主要分为三种类型:反射型、存储型和DOM型。反射型XSS发生在用户点击含有恶意脚本的链接时,...

    XSS跨站脚本攻击漏洞修复方法

    ### XSS漏洞修复策略 1. **输入验证与过滤**: 对所有用户提交的数据进行严格的检查,限制特定字符或字符集,避免危险脚本的输入。 2. **输出编码**: 在将用户输入的数据展示在页面上时,应使用适当的编码方式...

    关于pdf文件xss攻击问题,配置xssFilter方法

    在SpringBoot框架中,我们可以使用XSSFilter来预防这类攻击。 首先,理解XSS攻击的本质是关键。XSS攻击是通过在网页中注入可执行的脚本,当用户访问被注入脚本的页面时,这些脚本会在用户的浏览器环境中运行,从而...

    如何测试XSS漏洞借鉴.pdf

    在了解了XSS漏洞的产生原因(如未对用户输入进行过滤或转义)后,可以进行代码级别的静态分析来预防这类问题。对于非富文本,推荐使用`stringEscapeUtil.escapeHtml()`这样的函数对用户输入进行转义。对于富文本,...

    xsstry:xss漏洞利用平台

    "xsstry"是一个用于XSS漏洞测试和利用的平台,帮助安全研究人员和Web开发者识别并防御这类漏洞。通过这个平台,我们可以深入了解XSS攻击的各种类型,如反射型、存储型和DOM型XSS,并学习如何有效地防止它们。 ### ...

    java 预防XSS攻击

    - 定期进行安全审计和渗透测试,发现并修复潜在的XSS漏洞。 - 部署日志监控系统,及时发现异常请求和行为。 通过以上这些策略,可以显著降低Java应用程序遭受XSS攻击的风险。然而,安全防护是一个持续的过程,...

    安恒明鉴web漏洞扫描器

    【安恒明鉴Web漏洞扫描器】是一款专业的网络安全工具,主要针对Web应用程序的安全性进行深度检测,以发现潜在的漏洞并帮助企业或个人提前预防网络攻击。这款扫描器使用了先进的扫描技术和策略,能够自动化地执行多种...

    非富文本XSS漏洞预防和修复代码规范

    XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的

    XSS攻击实例1

    在"WebApplication1"这个项目中,你可以通过分析代码和测试不同类型的XSS攻击,理解它们的工作方式,并学习如何有效地实施防护措施。实践是最好的老师,通过实际操作,你可以更深入地掌握这些概念并提升你的Web应用...

    xss-labs-master.zip(xss注入通关游戏/靶场)

    **XSS注入详解** XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的Web...在解决每个挑战的过程中,参与者不仅可以掌握如何识别和利用XSS漏洞,还能学习如何有效地预防这类攻击,从而提高Web应用的安全性。

    Web应用安全:简单XSS测试脚本(实验).docx

    **Web应用安全:XSS(跨站脚本)测试详解** XSS(Cross-Site Scripting)是一种常见的网络攻击方式,攻击者通过注入恶意脚本,使得用户在浏览网页时执行这些脚本,从而获取敏感信息或进行其他恶意操作。本实验旨在...

    网络安全 - Web 安全攻防 - DOM 型 XSS 实验包 - DOMBasedXSSLab.zip

    DOM 型 XSS 是一种发生在客户端的脚本安全漏洞,攻击者通过操纵 Web 页面的 DOM 来插入恶意脚本,从而在用户的浏览器上执行非法操作。 ### 实验包内容 - **实验环境**:提供模拟 DOM 型 XSS 漏洞的 Web 应用程序,...

    web漏洞概述

    Web漏洞是网络安全领域的一大威胁,尤其对于依赖互联网的业务和服务来说。这些漏洞可能导致数据泄露、系统瘫痪甚至完全控制服务器。下面将详细讨论标题和描述中提到的几个关键的Web漏洞类型及其防范方法。 首先,...

Global site tag (gtag.js) - Google Analytics