跨站脚本攻击?

问题描述

如何能够更有效的防止跨站脚本攻击,在提交内容页面时,对所有提交内容进行过滤和转换,是否有点粗糟?

解决方案

恶意用户的Html输入——>web程序——>进入数据库——>web程序——>用户浏览器所以数据的转换和过滤是可以在3个地方进行转换,当然在进入数据库前转换是最好的,是不是要对所有提交内容进行过滤和转换要看你的应用对安全的要求,当然最好是在一个地方,比如写一个拦截器拦截所有输入参数,进行检测和转换,这样最省心。当然没有绝对的安全。

时间: 2024-10-29 23:11:15

跨站脚本攻击?的相关文章

UBB的跨站脚本攻击的漏洞

ubb|攻击|脚本         近日,由于发现一些站点仍然存在UBB的跨站脚本攻击的漏洞.跨站脚本攻击虽然很少会对服务器造成一些什么比较大的影响,但对于一个站点来说,存在这种漏洞实在是太不值得!小则,弹点什么东东出来;中则改改主页;重则窃取用户的COOKIES资料,更甚者将会G掉浏览者的硬盘.一个站点被变成一个恶意网站,还有谁敢来?如果再加上该站的站长比较"盲"一些,岂不乱套了? 小小的一段代码就真的能使一个站点成这样?好叫我们来具体的看看所谓的跨站脚本攻击到底会成为什么样的攻击模

利用PHP编程防范XSS跨站脚本攻击

国内不少论坛都存在跨站脚本漏洞国外也很多这样的例子甚至Google也出现过不过在12月初时修正了.(编者注关于跨站脚本漏洞攻击读者可参阅<详解XSS跨站脚本攻击>).跨站攻击很容易就可以构造而且非常隐蔽不易被查觉通常盗取信息后马上跳转回原页面. 如何攻击在此不作说明也不要问我主要谈谈如何防范.首先跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截.针对非法的HTML代码包括单双引号等可以使用htmlentities() .

如何利用php防止XSS跨站脚本攻击

 首先,跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的,所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截.针对非法的HTML代码包括单双引号等,可以使用htmlentities()函数 . <?php $str = "A "quote" is <b>bold</b>"; // Outputs: A "quote" is bold echo htmlentities($str); // Out

跨站脚本攻击成漏洞“老大” 两成服务器被植入后门

12月21日,360互联网安全中心发布<中国网站安全报告(2015)>,对全年网站漏洞.后门情况,漏洞遭受攻击情况.以及个人信息情况等进行了总体研究,报告显示,目前,4成网站存在漏洞,黑客利用漏洞对8万多家网站进行篡改,两成服务器被植入后门,黑客引导网民前往恶意网站. 上百万网站有漏洞 高危漏洞占两成 2015年全年(截至11月18日),360网站安全检测平台共扫描各类网站231.2万个,较2014年的164.2万个增加了40.8%.其中,扫出存在漏洞的网站101.5万个,占比为43.9%,较

[Web安全之实战] 跨站脚本攻击XSS

一.认识XSS先   先说个故事吧,在上一篇,我还想说这个案例.其实什么叫攻击,很简单.获取攻击者想要的信息,就黑成功了.抓到一个Tomcat漏洞(这不是我说的,一个 认识的人说的),上传一个JSP,里面模拟HttpClient,下载一个木马,运行.OK,搞定了.所以,没有绝对的安全.   今天,泥瓦匠带你们认识下XSS,然后关于怎么防御的问题.至于防御的话,仁者见仁智者见智.尔等啥都不配不上的就绰见,望各位阅读者相互讨论.泥瓦匠目前是搞JAVA的,所以例子上JAVA比较多.   Q: 什么是X

《XSS跨站脚本攻击剖析与防御》目录—导读

内容提要 XSS跨站脚本攻击剖析与防御 本书是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下. 第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害.第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马.窃取Cookies.会话劫持到钓鱼欺骗,各种攻击都不容忽视.第3章 XSS测试和利用工具,介绍了一些常见的XSS测试工具.第4章 发掘XSS漏洞,着重以黑盒和白盒的角度介绍如何发掘XSS漏洞,以便帮助读者树立安全

《XSS跨站脚本攻击剖析与防御》—第6章6.1节参 考 文 献

参 考 文 献 XSS跨站脚本攻击剖析与防御 [1] <精通 JavaScript> (美)John Resi /陈贤安(译) [2] <JavaScript核心技术> (美)Shelley Powers /苏敬凯(译) [3] <XSS Attacks: Cross Site Scripting Exploits and Defense>Seth Fogie/Jeremiah Grossman/Robert Hansen/Anton Rager/Petko D. Pe

Web安全之跨站脚本攻击(XSS)

什么是XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的. XSS的攻击场景 反射型这类攻击方式主要借助URL来实施.URL的构成分为协议.域名.端口.路径.查询几部分构成.如图所示: XSS往往在"查询"部分发现漏

《XSS跨站脚本攻击剖析与防御》—第6章6.4节利用Flash进行XSS攻击剖析

6.4 利用Flash进行XSS攻击剖析 XSS跨站脚本攻击剖析与防御 利用嵌入Web页面中的Flash进行XSS有一个决定因素:allowScriptAccess属性.allowScriptAccess是使用或 下面是一个简单的示例: allowScriptAccess属性控制着Flash与HTML页面的通信,可选的值有3个: always:允许随时执行脚本操作 never:禁止所有脚本执行操作 samedomain:只有在Flash 应用程序来自与HTML页相同的域时才允许执行脚本操作 其属

Asp.net跨站脚本攻击XSS实例分享

 Asp.net跨站脚本攻击XSS实例分享 常用攻击代码: http://target/vuln-search.aspx?term= </XSS/*-*/STYLE=xss:e/**/xpression(alert('XSS'))> Redirection Attack http://target/vuln-search.aspx?term= </XSS/*-*/STYLE=xss:e/**/xpression(window.location="http://www.xxx