XSS攻击原理和防范
来源:互联网 发布:文字特殊符号软件下载 编辑:程序博客网 时间:2024/04/30 22:36
XSS攻击全程是跨站脚本攻击。他是WEB应用程序最常见的攻击手段之一。跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序,当用户打开网页时,脚本程序便会开始爱客户端的浏览器上执行,已盗取客户端的cookie,用户名密码等。下载执行木马程序,甚至能获取客户端admin权限。
xss攻击原理
场景一假设如下表单
<input id='company' name='company' value="lenovo "/>表单company的内容来自用户的输入,当用户输入的公司不是正常的字符串,而是
--%><script type="text/javascript">alert("警告")</script><%--由于某种原因,如company服务端校验不通过,服务端重定向回这个页面,并且带上之前用户输入的company参数,此时页面则变成了
<input id='company' name='company' value="lenovo "/> <script type="text/javascript">alert("警告")</script>当然这段脚本只是弹出一下窗口,并不会造成什么危害。攻击的威力取决于用户输入什么样的脚本,只要稍微修改,就会使攻击极具危害性。
场景二
用户在表单输入一段数据后,提交给服务端进行持久化,其他页面需要从服务端将数据取出来展示。还是上面那段脚本。用户输入名称后会将脚本保存在数据库中。下一个用户查询时就是自动执行alert脚本,造成危害
同样,攻击的威力取决于用户输入什么样的脚。
xss防范
xss之所以会发生,是因为用户输入的数据变成了代码。因此,我们需要对用户输入的数据进行HTML转义处理,将其中的尖括号,单引号等特殊字义进行转义编码
如今很多开源的开源框架本身默认就提供HTML代码转义的功能,如今流行的jstl,Struts等。
阅读全文
0 0
- XSS攻击原理和防范
- XSS攻击和防范
- Java 防范XSS攻击
- XSS攻击防范
- XSS攻击的防范
- XSS攻击的防范
- 防范XSS攻击
- xss防范攻击
- 跨站脚本攻击(XSS)的原理、防范和处理方法
- XSS攻击原理和防止
- 跨网站脚本攻击(XSS)的原理与防范对策
- XSS攻击原理
- 了解 XSS 攻击原理
- XSS攻击的原理
- XSS攻击原理
- XSS攻击原理2
- XSS攻击的原理
- xss攻击原理
- BZOJ4300 绝世好题 [递推]
- 在js中调用dede标签
- 利用Mybatis-Generator自动生成Dao、Model、Mapping等文件
- 页面头部出现空白行  非法字符
- Bean属性和构造函数参数(ref)
- XSS攻击原理和防范
- 解决GridView高度计算不正确
- 九九乘法表
- MySQL中有关TIMESTAMP和DATETIME的总结
- c#交叉数组的使用
- Oracle数据库学习整理day4
- 1091: 童年生活二三事(多实例测试)
- Jmeter中正则表达式提取器使用详解
- hdu 1394 最小逆序数