web漏洞之xss(学习记录)

僤鯓⒐⒋嵵緔 提交于 2019-11-30 03:35:34

xss又名跨站脚本攻击,是一种注入攻击,当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(HTML、JavaScript)到网页中时,如果用户访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击。

常见的危害有:cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。

解决办法:

1.更新较高版本的jQuery

2.过滤关键字,同时注意header,host(建议正则),转义字符,如“<”转义字符是&lt;"<"的转义字符为&gt;   ,也可以使用org.apache.commons.lang.StringEscapeUtils.escapeHtml(str)来转义。缺点是入库时候,它的长度要比请求时候的长度要长。注意某些场景下,可能需要将其进行反转义。

3.前后端同时判断正误,限制请求数据。

(做记录学习用)

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!