一、什么是XSS?
XSS: Cross Site Script ,跨站脚本攻击。恶意攻击者在页面中注入恶意Script代码,在用户浏览时,恶意代码会被执行,从而达到攻击的目的。
恶意者通常会通过Web应用提交的内容提交Script代码,导致浏览器将用户输入的内容当成了代码执行。
二、XSS 攻击类型
1)持久性XSS
将恶意代码保存在数据库中,谁加载到该数据谁则被攻击,常见博客、论坛中。而且是长期的威胁。
1)网站留言板功能,有浏览内容、联系方式等输入框
2)我们期望用户在输入框中输入正常数据,恶意攻击者输入script代码,在动态网站渲染数据时,将代码渲染出执行
3)窃取cookie
黑客--插入js脚本--> 服务器实例化到数据库《--管理员查看信息,执行恶意代码
思考: 如果将恶意脚本放入到服务器中。
(1)通过ajax
(2)img加载外部数据源,但是数据源的地址是向黑客的地址发送相关的信息,如向黑客的地址发送cookie的信息
2)反射性XSS
非持久性XSS,恶意代码没有保存到目标网站,而是通过印个引诱用户点击一个恶意链接
参数--》Controller --> 回显
2)DOM性XSS
不存储,不交互
三、植入js代码攻击及危害分析
外在表现:
1.直接注入JaveScript代码
2.引用外部js文件
基本实现原理:
1.通过img标签的src发送数据
2.构造表单诱导用户输入账号密码
3.流量劫持,恶意跳转
四、预防策略
1、输入环节
限制输入框的长度、限制特殊字符限制,后端代码限制输入长度、处理特殊字符。Filter过滤器统一处理(自定义处理规则、使用Apache commom text、owasp AntiSamy)
流量网关(进行安全校验)--》业务网关,把校验放在流量网关进行校验
2.Cookie防护
cookie设置httponly,一般servlet容器默认httpOnlytrue
3、X-Frame-Options 响应头
4、输出环节
显示时对字符进行转义处理,OWASP ESAPI Java 显示时对字符转义处理,各种模板都有相关语法,通常情况下前段框架或者模板引擎都有转义的功能,默认开启
5、DOM型XSS
避免innerHTML、outerHtml、document.write()
6、富文本处理
禁止危险标签,如<iframe><form><script>
7、内容安全策略(CSP)
CSP之指定有效域
分类:
(1)Content-Security-Policy: 配置好后,不符合CSP的外部资源会被阻止加载
(2)Content-Security-Policy-Report-Only:表示不执行限制选项,知识记录违反记录的行为。配合report-uri使用
如何使用?
(1)在HTTP Header 上使用,在网关的filter中配置或者nginx中配置
(2)在HTML上使用
使用案例:
1)限制所有的外部资源,只能从当前域名加载,不包含子域名:
Content-security-Policy: defuault-src 'self'
2) 限制所有的外部资源,只能从当前域名及其子域名加载
Content-security-Policy:default-src *.xxxx.com 使用*通配符
3) 仅允许从指定域名加载
Content-security-Pilicy:default-src 'self';img-src *;media-src xxx.com yyy.com;script-src script.xxx.com
4) 仅允许通过HTTPS的方式从指定域名访问文档
Context-security-Policy:default-src https:xxxx.com
5) 发送违例报告
Content-Security-Policy:default-src 'self';report-uri http:xxxx.com/api
发送的json字符串如下:
{
”csp-report”: {
"document-uri": ''
"referece": ''
"blocked-uri":'',
"violated-directive": "style-src cdn,example.com",
"original-policy":""
}
}
文章浏览阅读2w次,点赞7次,收藏51次。四个步骤1.创建C++ Win32项目动态库dll 2.在Win32项目动态库中添加 外部依赖项 lib头文件和lib库3.导出C接口4.c#调用c++动态库开始你的表演...①创建一个空白的解决方案,在解决方案中添加 Visual C++ , Win32 项目空白解决方案的创建:添加Visual C++ , Win32 项目这......_c#调用lib
文章浏览阅读4.6k次。苹方字体是苹果系统上的黑体,挺好看的。注重颜值的网站都会使用,例如知乎:font-family: -apple-system, BlinkMacSystemFont, Helvetica Neue, PingFang SC, Microsoft YaHei, Source Han Sans SC, Noto Sans CJK SC, W..._ubuntu pingfang
文章浏览阅读159次。表单表单概述表单标签表单域按钮控件demo表单标签表单标签基本语法结构<form action="处理数据程序的url地址“ method=”get|post“ name="表单名称”></form><!--action,当提交表单时,向何处发送表单中的数据,地址可以是相对地址也可以是绝对地址--><!--method将表单中的数据传送给服务器处理,get方式直接显示在url地址中,数据可以被缓存,且长度有限制;而post方式数据隐藏传输,_html表单的处理程序有那些
文章浏览阅读1.2k次。使用说明:开启Google的登陆二步验证(即Google Authenticator服务)后用户登陆时需要输入额外由手机客户端生成的一次性密码。实现Google Authenticator功能需要服务器端和客户端的支持。服务器端负责密钥的生成、验证一次性密码是否正确。客户端记录密钥后生成一次性密码。下载谷歌验证类库文件放到项目合适位置(我这边放在项目Vender下面)https://github.com/PHPGangsta/GoogleAuthenticatorPHP代码示例://引入谷_php otp 验证器
文章浏览阅读4.3k次,点赞5次,收藏11次。matplotlib.plot画图横坐标混乱及间隔处理_matplotlib更改横轴间距
文章浏览阅读2.2k次。①Storage driver 处理各镜像层及容器层的处理细节,实现了多层数据的堆叠,为用户 提供了多层数据合并后的统一视图②所有 Storage driver 都使用可堆叠图像层和写时复制(CoW)策略③docker info 命令可查看当系统上的 storage driver主要用于测试目的,不建议用于生成环境。_docker 保存容器
文章浏览阅读834次,点赞27次,收藏13次。网络拓扑结构是指计算机网络中各组件(如计算机、服务器、打印机、路由器、交换机等设备)及其连接线路在物理布局或逻辑构型上的排列形式。这种布局不仅描述了设备间的实际物理连接方式,也决定了数据在网络中流动的路径和方式。不同的网络拓扑结构影响着网络的性能、可靠性、可扩展性及管理维护的难易程度。_网络拓扑csdn
文章浏览阅读1.8k次,点赞5次,收藏8次。IOS系统Date的坑要创建一个指定时间的new Date对象时,通常的做法是:new Date("2020-09-21 11:11:00")这行代码在 PC 端和安卓端都是正常的,而在 iOS 端则会提示 Invalid Date 无效日期。在IOS年月日中间的横岗许换成斜杠,也就是new Date("2020/09/21 11:11:00")通常为了兼容IOS的这个坑,需要做一些额外的特殊处理,笔者在开发的时候经常会忘了兼容IOS系统。所以就想试着重写Date函数,一劳永逸,避免每次ne_date.prototype 将所有 ios
文章浏览阅读5.3k次。方法一:用PLSQL Developer工具。 1 在PLSQL Developer的sql window里输入select * from test for update; 2 按F8执行 3 打开锁, 再按一下加号. 鼠标点到第一列的列头,使全列成选中状态,然后粘贴,最后commit提交即可。(前提..._excel导入pl/sql
文章浏览阅读83次。Git常用命令速查手册1、初始化仓库git init2、将文件添加到仓库git add 文件名 # 将工作区的某个文件添加到暂存区 git add -u # 添加所有被tracked文件中被修改或删除的文件信息到暂存区,不处理untracked的文件git add -A # 添加所有被tracked文件中被修改或删除的文件信息到暂存区,包括untracked的文件...
文章浏览阅读202次。分享119个ASP.NET源码总有一个是你想要的_千博二手车源码v2023 build 1120
文章浏览阅读1.8k次。版权声明:转载请注明出处 http://blog.csdn.net/irean_lau。目录(?)[+]1、缺省构造函数。2、缺省拷贝构造函数。3、 缺省析构函数。4、缺省赋值运算符。5、缺省取址运算符。6、 缺省取址运算符 const。[cpp] view plain copy_空类默认产生哪些类成员函数