预防XSS漏洞攻击
来源:互联网 发布:淘宝店铺名片 编辑:程序博客网 时间:2024/04/28 05:09
XSS攻击的特点就是通过对HTTP参数内容进行特殊的编写,达到获取信息、执行命令的目的。
举一个简单的例子,假如你有一个登录页面,在登录后在页面上显示用户的用户名。代码片段如下:
request.setAttribute("username", username);
登录后显示的JSP页面片段:
当前登录用户: <span>${username}</span>
正常的情况下,这个功能会工作的很好,不会有什么问题。但是如果遇到别有用心的人,那么结果将会很不一样。比如,在浏览器中输入URL如下:http://%host%:%ip%/XX/login?username=<script>alert('黑客!!!')</script>
那么结果将不会是你期望的在页面上看到登录用户的名称,而是弹出一个提示框显示“黑客!!!”,这就是一个典型的跨站脚本攻击。
解决办法就是使用
${param.userName}输出参数。
一般情况下,上述方法就搞定了。不过这里列出我遇到的两种特殊的情况。重点来了
1、页面中被注释的内容含有接收的参数。
URL如下: http://%host%:%ip%/XX/view?Id=1&type=manage*/alert('黑客!!!');/*
jsp代码片段:
/* $("#search-btn").click(function(){window.location="../link?type=${param.type}&Id=${param.Id}";}); */而此时解析出来的html代码为:
/* $("#search-btn").click(function(){window.location="../link?type=manage*/alert('黑客!!!');/*&Id=1";}); */访问上面URL就是弹出提示框显示“黑客!!!”。
所以要去掉页面中不必要的注释,尤其的含有输入参数的注释。
2、页面中直接使用接收的参数。如:参数放入括号中
URL如下:http://%host%:%ip%/XX/view?Id=3&type=manage&node=79777);alert("黑客!!!");%2f%2f
jsp代码片段:
<pre name="code" class="html">var proxy = Handler.getProxyByNode(${param.node});而此时解析出来的html代码为:
var proxy = Handler.getProxyByNode(79777);alert("黑客!!!");//);访问上面URL就是弹出提示框显示“黑客!!!”。
所以要避免这样直接使用接收的参数。而应该用下面方法:
var node = '${param.node}';var proxy = Handler.getProxyByNode(node);
0 0
- 预防XSS漏洞攻击
- XSS攻击预防
- 预防xss攻击
- 如何预防 XSS 攻击?
- golang web xss攻击预防
- XSS攻击以及PHP预防
- XSS漏洞攻击
- XSS漏洞修补及预防--使用过滤器
- js前端预防xss攻击的方法
- js前端预防xss攻击的方法
- 预防XSS攻击需要注意的地方。
- Struts2 Xss 攻击预防的处理
- 【巧用路由器预防漏洞遭攻击】
- 内核驱动漏洞与攻击预防-MJ0011
- Web攻击手段--XSS攻击及预防策略
- web安全防范之XSS漏洞攻击
- 跨站脚本攻击漏洞(XSS)
- 网站XSS漏洞攻击如何修补
- 减小Cookie体积
- MFC架构之CWinThread类
- 字符串和多维数组
- 确保 Xcode 每次 Build 时都自动更新资源
- Java多线程编程实战精要(2)
- 预防XSS漏洞攻击
- R实现分类树
- 用C/C++开发基于VLC SDK的视频播放器
- N-Queens
- cena评测系统:自定义校验器(浮点误差)
- 简单分页
- Android的权限permission【转】
- nmon 安装及使用
- 登上泰山,只为让自己看的更远