zoukankan      html  css  js  c++  java
  • xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义

    xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义

    XSS攻击的防范

         XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执行的代码,因此我们要对用户的输入进行HTML转义处理,将其中的尖括号,引号,单引号等特殊字符进行转义编码,例如“〈”转义后为“<”,“>”转义后为“>”,“'”转义后为“&”,“"”转义后为“"”

    1、将能被转换为html的输入内容,在写代码时改为innerText而不用innerHTML

    2、实在没有办法的情况下可用如下方法(js代码)

    function safeStr(str){
    return str.replace(/</g,'&lt;').replace(/>/g,'&gt;').replace(/"/g, "&quot;").replace(/'/g, "&#039;");
    }

    三、XSS防御

    我们是在一个矛盾的世界中,有矛就有盾。只要我们的代码中不存在漏洞,攻击者就无从下手,我们要做一个没有缝的蛋。
     
    XSS 漏洞修复
      原则: 不相信客户输入的数据
      注意:  攻击代码不一定在<script></script>中
      将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
         需要对用户的输入进行处理,只允许用户输入我们期望的数据,其它值一概过滤掉。例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
      对数据进行Html Encode 处理
      过滤或移除特殊的Html标签, 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for
      过滤JavaScript 事件的标签。例如 “onclick=”, “onfocus” 等等。
     
    XSS具体的防御有如下方式:
  • 相关阅读:
    Activiti Model Editor组件
    Activiti 5.17 实体对象与类和数据库表的映射
    工作流入门链接
    揭秘jbpm流程引擎内核设计思想及构架
    比较Activiti中三种不同的表单及其应用
    Activiti源码分析
    Spring Security教程(5)---- 国际化配置及UserCache
    spring DelegatingFilterProxy管理过滤器
    Apache 处理svg工具包Apache(tm) Batik SVG Toolkit
    Binary Tree Right Side View
  • 原文地址:https://www.cnblogs.com/gaoyuechen/p/9387750.html
Copyright © 2011-2022 走看看