一、什么是XSS?
XSS: Cross Site Script ,跨站脚本攻击。恶意攻击者在页面中注入恶意Script代码,在用户浏览时,恶意代码会被执行,从而达到攻击的目的。
恶意者通常会通过Web应用提交的内容提交Script代码,导致浏览器将用户输入的内容当成了代码执行。
二、XSS 攻击类型
1)持久性XSS
将恶意代码保存在数据库中,谁加载到该数据谁则被攻击,常见博客、论坛中。而且是长期的威胁。
1)网站留言板功能,有浏览内容、联系方式等输入框
2)我们期望用户在输入框中输入正常数据,恶意攻击者输入script代码,在动态网站渲染数据时,将代码渲染出执行
3)窃取cookie
黑客--插入js脚本--> 服务器实例化到数据库《--管理员查看信息,执行恶意代码
思考: 如果将恶意脚本放入到服务器中。
(1)通过ajax
(2)img加载外部数据源,但是数据源的地址是向黑客的地址发送相关的信息,如向黑客的地址发送cookie的信息
2)反射性XSS
非持久性XSS,恶意代码没有保存到目标网站,而是通过印个引诱用户点击一个恶意链接
参数--》Controller --> 回显
2)DOM性XSS
不存储,不交互
三、植入js代码攻击及危害分析
外在表现:
1.直接注入JaveScript代码
2.引用外部js文件
基本实现原理:
1.通过img标签的src发送数据
2.构造表单诱导用户输入账号密码
3.流量劫持,恶意跳转
四、预防策略
1、输入环节
限制输入框的长度、限制特殊字符限制,后端代码限制输入长度、处理特殊字符。Filter过滤器统一处理(自定义处理规则、使用Apache commom text、owasp AntiSamy)
流量网关(进行安全校验)--》业务网关,把校验放在流量网关进行校验
2.Cookie防护
cookie设置httponly,一般servlet容器默认httpOnlytrue
3、X-Frame-Options 响应头
4、输出环节
显示时对字符进行转义处理,OWASP ESAPI Java 显示时对字符转义处理,各种模板都有相关语法,通常情况下前段框架或者模板引擎都有转义的功能,默认开启
5、DOM型XSS
避免innerHTML、outerHtml、document.write()
6、富文本处理
禁止危险标签,如<iframe><form><script>
7、内容安全策略(CSP)
CSP之指定有效域
分类:
(1)Content-Security-Policy: 配置好后,不符合CSP的外部资源会被阻止加载
(2)Content-Security-Policy-Report-Only:表示不执行限制选项,知识记录违反记录的行为。配合report-uri使用
如何使用?
(1)在HTTP Header 上使用,在网关的filter中配置或者nginx中配置
(2)在HTML上使用
使用案例:
1)限制所有的外部资源,只能从当前域名加载,不包含子域名:
Content-security-Policy: defuault-src 'self'
2) 限制所有的外部资源,只能从当前域名及其子域名加载
Content-security-Policy:default-src *.xxxx.com 使用*通配符
3) 仅允许从指定域名加载
Content-security-Pilicy:default-src 'self';img-src *;media-src xxx.com yyy.com;script-src script.xxx.com
4) 仅允许通过HTTPS的方式从指定域名访问文档
Context-security-Policy:default-src https:xxxx.com
5) 发送违例报告
Content-Security-Policy:default-src 'self';report-uri http:xxxx.com/api
发送的json字符串如下:
{
”csp-report”: {
"document-uri": ''
"referece": ''
"blocked-uri":'',
"violated-directive": "style-src cdn,example.com",
"original-policy":""
}
}
文章浏览阅读295次。总的来说,KONGSBERG RMP201-8数字量输入模块是一款性能卓越、功能丰富的产品。除了信号处理功能外,该模块还配备了通信接口,如以太网、串行通信等,这使得它能够与其他设备或控制系统进行数据交换和控制。KONGSBERG RMP201-8数字量输入模块是一款功能强大的模块,专为接收和处理数字信号而设计。RMP201-8模块的核心功能是接收数字信号,如高低电平、脉冲信号等,并将这些信号转换为控制系统可以识别和处理的格式。通道的数量通常根据具体的应用需求进行配置,从而为用户提供了极大的灵活性和扩展性。
文章浏览阅读823次。异常数据检测 | Python基于Hampel的离群点检测_python 离群点检测
文章浏览阅读117次。这里不仔细讲原理,只是把我写的算法发出来,跟大家分享下,如果有错误的话,还请大家告诉我,如果写的不好,也请指出来,一起讨论进步。算法步骤:(1) 输入圆的半径R。(2) 计算初始值d = 1 - R, x = 0; y = R。(3) 绘制点(x, y), 及其在八分圆中的另外7个对称点。(4) 判断d的符号,若d < 0, 则先将d更新为d+2*x+3,再将(x,y)..._设圆半径r=10,初始点(0,10),利用中点bresenham画圆法绘制八分之一圆弧
文章浏览阅读141次。第二章简单的图形显示本章概述科学分析最基本的能力就是以简单的线画图、等值线图和曲面图来显示所研究的数据。在这一章中,将知道用这些方式来显示数据是多么容易。也将学会用系统变量和关键字来定位和标注简单的图形显示。将学会如下几点:1.如何用Plot命令将数据显示为线画图。2.如何用Surface和Shade_Surf命令将数据显示为曲面图。3.如何用Contour命令将数据显示为等值线图。4.如何在显示..._idl中画图时怎样让横坐标的讲变窄
文章浏览阅读1.6k次,点赞9次,收藏46次。第二部分 初章 网络爬虫初识4. 网络爬虫请求篇_python数据采集与网络爬虫报告
文章浏览阅读4.3k次,点赞3次,收藏26次。相机的标定是 SLAM 最开始的部分,由于设备原因,这个星期只做了手机相机的标定。这篇文章主要就是介绍一下相机标定的原理以及用OpenCV中现有的函数或是Matlab做相机标定的过程。_相机标定的相机可以是手机吗
文章浏览阅读1k次。构成要素:长期趋势,季节变动,循环变动,不规则变动长期趋势( T )现象在较长时期内受某种根本性因素作用而形成的总的变动趋势季节变动( S )现象在一年内随着季节的变化而发生的有规律的周期性变动循环变动( C )现象以若干年为周期所呈现出的波浪起伏形态的有规律的变动不规则变动(I )是一种无规律可循的变动,包括严格的随机变动和不规则的突发性影响很大的变动两种类型️ https://ww..._时间序列 赛马问题
文章浏览阅读883次。classes12.jar,ojdbc14.jar,ojdbc5.jar和ojdbc6.jar的区别,之间的差异在使用Oracle JDBC驱动时,有些问题你是不是通过替换不同版本的Oracle JDBC驱动来解决的?最常使用的ojdbc14.jar有多个版本,classes12.jar有多个版本你了解吗? 连接类型:1、JDBC OCI: oci是oracle call int_class12.jar和ojdbc.jar
文章浏览阅读189次。MFC编译程序,缺少MFC动态链接库的解决问题:VS2010 c++编写的程序在别人的机子运行不了,缺少mfc100u.dll xxx100d.dll等的解决方法解决方法: 1.将这些dll打包,和应用程序一起发布; 2.采用MFC静态编译;附1:VS2010中静态编译设置方法使用VS2010编译的程序在windows xp中运行时 经常会出现找不到 相关的DLL文..._mfc 去除dll mfc动态库
文章浏览阅读4.1k次,点赞9次,收藏23次。来源知乎精选话题,已获得作者授权,详情见阅读全文 现状:最近在找软件开发的实习工作,分别参加了华为,CVTE等面试,在面试过程中,没有项目经验,立马就被面试官表示 没有任何..._知乎 计算机项目经历
文章浏览阅读31次。对于即将迎来毕业设计的计算机专业的你,选择合适的题目和成功完成项目是个棘手的问题。Springboot电子政务理念的高校”校长信箱的设计与实现48q90。Springboot中小型企业物流管理系统的设计与实现ey32q。Springboot基于的流浪动物领养系统的设计与实现gz2gy。Springboot学生学业预警管理系统的设计与实现57j7l。Springboot高校餐饮管理系统的设计与实现ttu99。Springboot高校宿舍管理系统的设计与实现ukgdt。
文章浏览阅读2.4k次。程序加载是什么?解答:http://www.yayihouse.com/yayishuwu/chapter/1175_ctf加载程序有什么用吗