本月博客排行
年度博客排行
-
第1名
宏天软件 -
第2名
龙儿筝 -
第3名
青否云后端云 - wallimn
- gashero
- vipbooks
- wy_19921005
- benladeng5225
- fantaxy025025
- zysnba
- ssydxa219
- e_e
- javashop
- sam123456gz
- arpenker
- tanling8334
- kaizi1992
- xpenxpen
- xiangjie88
- wiseboyloves
- ganxueyun
- xyuma
- sichunli_030
- lemonhandsome
- wangchen.ily
- jh108020
- zxq_2017
- jbosscn
- Xeden
- zhanjia
- luxurioust
- forestqqqq
- lzyfn123
- johnsmith9th
- ajinn
- nychen2000
- wjianwei666
- daizj
- hanbaohong
- 喧嚣求静
- ranbuijj
- silverend
- kingwell.leng
- lchb139128
- kristy_yy
- lich0079
- jveqi
- java-007
- sunj
- yeluowuhen
最新文章列表
FreeMarker模板输出转义html
本文转载自:http://www.yshjava.cn/post/333.html
FreeMarker作为"通用"模版引擎, 默认情况下不会对model中的值进行html转义, 然而在web项目中, 为了防止跨站脚本攻击等问题, 必须在对model中的值进行转义. 解决办法: 方法1. 是使用 ${x?html} 可以用于对单个值的转义方法2. 使用<#esc ...
javascript如何对location.hash过滤xss跨站脚本
场景:
需要获取类似如下url的hash值并做跳转:
http://www.xxx.com/home#/comments?type=0
改进前:
(function() {
var originalUrl = window.location.href,
toUrl = originalUrl.indexOf('#') != -1 & ...
XSS-Cross Site Scripting 跨站脚本攻击初识
如果通过html 或者是js注入不安全的代码,插入到数据库可能导致原来的数据截断,插入了不期望的数据,甚至是可以获得非法权限,网站挂马,网站钓鱼,CSRF攻击。
注入方式:html, js注入;
基本思想:fileter input , escape output,输出html代码时用PHP的htmlspecialchars方法过滤, 输出javascript代码时用json_encod ...
Xss跨站脚本经验总结Cross Site Scripting
最近这段时间我所在的公司让我搞一些有关网络安全方面的东西,其实是有关安全机制方面的工作,现在所做的项目整体已经到了维护的阶段,我所处的项目组现在还在改造,不过遗留了好多bug,特别是有关Xss方面的,(XSS跨站脚本 http://de.wikipedia.org/wiki/XSS或者http://baike.baidu.com/view/50325.htm)。详情请参考以上网址。
1. ...
浅谈XSS & CSRF(转载)
客户端(浏览器)安全
同源策略(Same Origin Policy)
同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。
如:
不能通过Ajax获取另一个源的数据;
JavaScript不能访问页面中iframe加载的跨域资源。
对 http://store.company.com/dir/page.html 同源检测
...
XSS (Cross Site Scripting) Prevention approach
Introduction
This article provides a simple positive model for preventing XSS using output escaping/encoding properly. While there are a huge number of XSS attack vectors, following a few simple ru ...
XSS Attack
Cross-site Scripting (XSS)
Overview
Cross-Site Scripting attacks are a type of injection problem, in which malicious scripts are injected into the otherwise benign and trusted web sites. Cros ...
跨站脚本漏洞(XSS)示例
index.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional// ...
改正了www.vktone.com博客系统中存在的跨站脚本攻击漏洞
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
没想到我的博客评论系统中存在XSS漏洞,现在已经修正。
有位聪明的网友发现在发表评论“名称”中填写脚本可以被执行,比如他填写了 <script>al ...
XSS(跨站脚本攻击)
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
XSS 是如何发生的呢
假如有下面一个textbox
<input type="te ...
使用spring的DelegatingFilterProxy 写xss filter
最近需要写个xss过滤器,将访问网站的所有请求参数都进行xss过滤,过滤的api使用的是antisamy-1.4.4
java代码
public class XssFilter implements Filter {
private static final Logger log = LoggerFactory.getLogger(XssFilter.class);
pu ...
几种极其隐蔽的XSS注入的防护
XSS注入的本质就是: 某网页中根据用户的输入, 不期待地生成了可执行的js代码, 并且js得到了浏览器的执行. 意思是说, 发给浏览器的字符串中, 包含了一段非法的js代码, 而这段代码跟用户的输入有关.
常见的XSS注入防护, 可以通过简单的 htmlspecialchars(转义HTML特殊字符), strip_tags(清除HTML标签) 来解决, 但是, 还有一些隐蔽的XSS注入不能通过 ...