web安全之XSS注入
以前在作項目的時候有遇到一些安全問題,XSS注入就是其中之一css
那麼,什麼是XSS注入呢?html
XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面裏插入惡意腳本代碼,而程序對於用戶輸入內容未過濾,當用戶瀏覽該頁之時,嵌入其中Web裏面的腳本代碼會被執行,從而達到惡意攻擊用戶的特殊目的。java
跨站腳本攻擊的危害:竊取cookie、放蠕蟲、網站釣魚 ...web
跨站腳本攻擊的分類主要有:存儲型XSS、反射型XSS、DOM型XSS安全
XSS漏洞是Web應用程序中最多見的漏洞之一。若是您的站點沒有預防XSS漏洞的固定方法,那麼就存在XSS漏洞。這個利用XSS漏洞的病毒之因此具備重要意義是由於,一般難以看到XSS漏洞的威脅,而該病毒則將其發揮得淋漓盡致。cookie
通俗點講,就是 惡意用戶在某個表單或者公共區域輸入了 可執行的html/js代碼,竊取用戶信息或者攻擊網站app
好比評論功能xss
假如我在評論裏輸入了一段可執行的script,讓他彈出 123,當我把評論提交,若是沒有網站沒有作處理的話,那麼個人腳本就會當成評論展現給其餘人看,可是它在頁面執行了,而後大夥一到個人評論頁面就會彈出 123.工具
詳細的各類狀況能夠看看這篇文章 web安全測試之xssweb安全
如何防護XSS注入
主要就是進行過濾,對可能引發XSS的注入進行過濾
1 import java.net.URLEncoder; 2 3 /** 4 * 過濾非法字符工具類 5 * 6 */ 7 public class EncodeFilter { 8 9 //過濾大部分html字符 10 public static String encode(String input) { 11 if (input == null) { 12 return input; 13 } 14 StringBuilder sb = new StringBuilder(input.length()); 15 for (int i = 0, c = input.length(); i < c; i++) { 16 char ch = input.charAt(i); 17 switch (ch) { 18 case '&': sb.append("&"); 19 break; 20 case '<': sb.append("<"); 21 break; 22 case '>': sb.append(">"); 23 break; 24 case '"': sb.append("""); 25 break; 26 case '\'': sb.append("'"); 27 break; 28 case '/': sb.append("/"); 29 break; 30 default: sb.append(ch); 31 } 32 } 33 return sb.toString(); 34 } 35 36 //js端過濾 37 public static String encodeForJS(String input) { 38 if (input == null) { 39 return input; 40 } 41 42 StringBuilder sb = new StringBuilder(input.length()); 43 44 for (int i = 0, c = input.length(); i < c; i++) { 45 char ch = input.charAt(i); 46 47 // do not encode alphanumeric characters and ',' '.' '_' 48 if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' || 49 ch >= '0' && ch <= '9' || 50 ch == ',' || ch == '.' || ch == '_') { 51 sb.append(ch); 52 } else { 53 String temp = Integer.toHexString(ch); 54 55 // encode up to 256 with \\xHH 56 if (ch < 256) { 57 sb.append('\\').append('x'); 58 if (temp.length() == 1) { 59 sb.append('0'); 60 } 61 sb.append(temp.toLowerCase()); 62 63 // otherwise encode with \\uHHHH 64 } else { 65 sb.append('\\').append('u'); 66 for (int j = 0, d = 4 - temp.length(); j < d; j ++) { 67 sb.append('0'); 68 } 69 sb.append(temp.toUpperCase()); 70 } 71 } 72 } 73 74 return sb.toString(); 75 } 76 77 /** 78 * css非法字符過濾 79 * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters 80 */ 81 public static String encodeForCSS(String input) { 82 if (input == null) { 83 return input; 84 } 85 86 StringBuilder sb = new StringBuilder(input.length()); 87 88 for (int i = 0, c = input.length(); i < c; i++) { 89 char ch = input.charAt(i); 90 91 // check for alphanumeric characters 92 if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' || 93 ch >= '0' && ch <= '9') { 94 sb.append(ch); 95 } else { 96 // return the hex and end in whitespace to terminate 97 sb.append('\\').append(Integer.toHexString(ch)).append(' '); 98 } 99 } 100 return sb.toString(); 101 } 102 103 /** 104 * URL參數編碼 105 * http://en.wikipedia.org/wiki/Percent-encoding 106 */ 107 public static String encodeURIComponent(String input) { 108 return encodeURIComponent(input, "utf-8"); 109 } 110 111 public static String encodeURIComponent(String input, String encoding) { 112 if (input == null) { 113 return input; 114 } 115 String result; 116 try { 117 result = URLEncoder.encode(input, encoding); 118 } catch (Exception e) { 119 result = ""; 120 } 121 return result; 122 } 123 124 public static boolean isValidURL(String input) { 125 if (input == null || input.length() < 8) { 126 return false; 127 } 128 char ch0 = input.charAt(0); 129 if (ch0 == 'h') { 130 if (input.charAt(1) == 't' && 131 input.charAt(2) == 't' && 132 input.charAt(3) == 'p') { 133 char ch4 = input.charAt(4); 134 if (ch4 == ':') { 135 if (input.charAt(5) == '/' && 136 input.charAt(6) == '/') { 137 138 return isValidURLChar(input, 7); 139 } else { 140 return false; 141 } 142 } else if (ch4 == 's') { 143 if (input.charAt(5) == ':' && 144 input.charAt(6) == '/' && 145 input.charAt(7) == '/') { 146 147 return isValidURLChar(input, 8); 148 } else { 149 return false; 150 } 151 } else { 152 return false; 153 } 154 } else { 155 return false; 156 } 157 158 } else if (ch0 == 'f') { 159 if( input.charAt(1) == 't' && 160 input.charAt(2) == 'p' && 161 input.charAt(3) == ':' && 162 input.charAt(4) == '/' && 163 input.charAt(5) == '/') { 164 165 return isValidURLChar(input, 6); 166 } else { 167 return false; 168 } 169 } 170 return false; 171 } 172 173 static boolean isValidURLChar(String url, int start) { 174 for (int i = start, c = url.length(); i < c; i ++) { 175 char ch = url.charAt(i); 176 if (ch == '"' || ch == '\'') { 177 return false; 178 } 179 } 180 return true; 181 } 182 183 }
這個code不是我本身碼的,是我以前在網上看到的 地址是 WEB安全:XSS漏洞與SQL注入漏洞介紹及解決方案
固然主要看原理,你也能夠寫成js公共方法,在須要的地方過濾也同樣
相關文章
- 1. Web安全之XSS與SQL注入
- 2. web安全之XSS
- 3. 【web安全】淺談web安全之XSS
- 4. Web安全之SQL注入
- 5. Web安全測試之XSS
- 6. Web安全之CSRF和XSS
- 7. web安全之xss(二)
- 8. Web安全之初識XSS
- 9. Web安全之XSS攻防
- 10. Web 安全之 XSS 和 CSRF
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Composer 安裝與使用
- • YAML 入門教程
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. Web安全之XSS與SQL注入
- 2. web安全之XSS
- 3. 【web安全】淺談web安全之XSS
- 4. Web安全之SQL注入
- 5. Web安全測試之XSS
- 6. Web安全之CSRF和XSS
- 7. web安全之xss(二)
- 8. Web安全之初識XSS
- 9. Web安全之XSS攻防
- 10. Web 安全之 XSS 和 CSRF