什么是xss攻击及如何防范

最新推荐文章于 2025-01-29 19:53:52 发布
最新推荐文章于 2025-01-29 19:53:52 发布
阅读量320 收藏 3
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: xss 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sangshu329/article/details/142769637

XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是:
恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。

可以通过以下几种方式预防:

1 输入过滤

过滤所有用户输入的数据,默认可以使用 HtmlUtil::filter 进行富文本过滤)

2 显示转义

在 blade 页面渲染数据时通常有两种方式,如果内容中可能含有 xss 内容,需要过滤或者使用第一种

## 第一种,会把 < > 等特殊字符转换为实体字符
{{ $xxx }}
## 第二种,会原样输出,不对字符进行转换
{!! $xxx !!}
3 X-Frame-Options

防止网页被嵌套

攻击者可以使用一个透明的、不可见的iframe,覆盖在目标网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击iframe页面的一些功能性按钮上,导致被劫持。

生产环境的网站都会添加防盗链,不希望自己网页页面被其他站的 FRAME 嵌套进去, 这时候就需要的HTTP协议头里增加X-Frame-Options这一项。

  • DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
  • SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。
  • ALLOW-FROM “https://example.com/” 表示该页面可以在指定来源的 frame 中展示。
Nginx
add_header X-Frame-Options DENY;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Frame-Options "ALLOW-FROM https://xxx.xxxxxx.com http://example.com";
4 Content-Security-Policy

内容安全策略

CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。

JavaScript中跨站脚本攻击XSS)的防范与调试
shejizuopin的博客
05-07 1019
防御分层策略输入层:严格过滤(白名单>黑名单)输出层:自动转义(模板引擎>手动编码)运行时:CSP策略+Cookie安全标志应急响应流程fill:#333;color:#333;color:#333;fill:none;是否发现XSS漏洞是否已上线?立即回滚代码+清除缓存修复代码并增加单元测试审计日志+通知用户提交代码审查发布安全公告持续安全建设定期进行渗透测试(如每月1次)订阅安全公告(如Node.js Security WG)建立安全编码规范(如禁止eval()
ModStart系统安全规范建议
qq_26450889的博客
11-07 429
举例:用户提交数据时如果填写,当系统处理数据时过滤不完全,就会出现 XSS 漏洞,用户的代码就会被执行。
XSS过滤器的实现
weixin_33834679的博客
03-18 1057
一、XSS是什么   全称跨站脚本(cross site script)XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 比如在input框中填写了可以执行的javascript脚本,而后台并没有做过滤与校验。 二、过滤器是什么   过滤器,顾名思义过滤某种物质的设备,在Java中用...
Laravel 项目的 XSS 攻击解决方案
Mr_Lewis的博客
01-09 4055
一、XSS概述 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的,一旦恶意攻击者能在页面中执行...
前端安全:如何防止XSS攻击
最新发布
破损的天堂鸟博客
01-29 3683
XSS攻击是一种常见但危险的漏洞,通过输入验证、输出编码、HTTP头部策略、内容安全策略以及现代框架的使用,可以有效降低XSS攻击的风险。同时,持续的安全检测和团队的安全意识提升也是保障前端安全的重要环节。
Larvel如何防范XSS和CSRF攻击【超详解】
weixin_62754939的博客
12-10 827
XSS是跨站脚本攻击攻击者通过“注入代码”,在网页中插入恶意代码,从而被浏览器执行所造成的一种攻击方式。(通常是 JavaScript),当用户访问被注入脚本的页面时,浏览器会执行该脚本,从而导致用户信息泄露、账号被盗用或其他恶意操作。CSRF(跨站请求伪造),攻击者利用用户在目标网站已经登录的状态,诱使用户在不知情的情况下访问第三方网站,而这个第三方网站会向目标网站发送伪造的请求,从而执行一些用户本意并不想执行的操作,比如转账、修改密码等。
web安全之XSS攻击及防御pdf
08-25
### Web安全之XSS攻击及防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
Yii2的XSS攻击防范策略分析
10-21
XSS攻击防范策略是当下网络安全中的一个重要课题,而Yii2作为一款高性能的PHP框架,其内建的防范机制对于Web应用的安全起到了关键的作用。本文将详细分析Yii2框架中防止XSS攻击的策略,并探讨其原理与实施方法。 ...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
xss的过滤和绕过(2)
2402_87039650的博客
11-09 2760
常见的过滤方式是用户输入的标签进行限制,如果采用黑名单的方式,我们可以寻找黑名单中遗漏的标签,在https://portswigger.net/web-security/cross-site-scripting/cheat-sheet这个表中列举了大量的可以用于执行JavaScript的标签和属性,并给出了适用于哪些浏览器。如果没有过滤"<"和">",可以直接引入新的标签,如果尖括号被过滤,可以插入新的事件属性,比如onload,onmousemove等。CSP被设计成完全向后兼容。
【转载】目前主流过滤XSS的三种技术
weixin_30697239的博客
11-07 2612
目前主流过滤XSS的三种技术 过滤 过滤,顾名思义,就是将提交上来的数据中的敏感词汇直接过滤掉。例如对"<script>"、"<a>"、"<img>"等标签进行过滤,有的是直接删除这类标签中的内容,有的是过滤掉之类标签中的on事件或是'javascript'等字符串,让他们达不到预期的DOM效果。 编码 像一些常见的字符,如"<"、">"等。...
Bypass xss过滤的测试方法
中华传奇
07-27 586
0x00 背景 本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss过滤的部分,前面有根据WAF特征确定是哪个WAF的测试方法给略过了,重点来看一下后面绕xss的一些基本的测试流程,虽说是绕WAF的,但这里还是根据WAF中的正则缺陷来绕过测试方法,并不是协议上...
xss过滤技巧
Richard_qi的博客
04-11 3801
xss过滤技巧(个人记录) 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 关闭标签 有时候我们需要关闭标签来使我们的XSS生效。 比如:“><script>alert(“Hi”);</script> 使用hex编码绕过 我们可以对我们的语句进行hex编码来绕过X
常见的绕过XSS过滤的方法
小白渣的博客
03-02 1万+
xss绕过过滤之方法 很多网站为了避免XSS攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的...
PHP XSS攻击防范--如何过滤用户输入
zhibin的程序日记
12-27 5044
一、什么是XSS攻击 XSS攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 来看一个简单的例子: <?php $slogan_type = isset($_GET['slogan_type']) ? $_GET['slogan_type'] : 'default'; ?>
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
使用filter过滤xss攻击
lionzl的专栏
12-02 1551
使用filter过滤xss攻击 博客分类:  技术人生 filter实现脚注入攻击过滤源码    先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替
java处理XSS过滤的方法
psiitoy的专栏
10-24 4239
2 人收藏此文章, 发表于3个月前(2013-07-24 14:08) , 已有 200 次阅读 ,共 5 个评论 如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤 如果采用了struts2,那么需要重写StrutsRequestWrapper 如果没有采用struts2,那么直接重写HttpServletRequestWraper 在自定
XSS攻击详解与防范策略
"XSS跨站脚本攻击防范" XSS(Cross-Site Scripting)是一种常见的网络...理解和防范XSS攻击对于维护网络安全至关重要,特别是对于开发和运营网站的人员来说,他们需要采取相应的安全措施来保护用户的数据和隐私。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值