人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。
跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
攻击者可以使用户在浏览器中执行其预定义的恶意脚本,其导致的危害可想而知,如劫持用户会话,插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫,甚至破坏网站、修改路由器配置信息等。
XSS漏洞可以追溯到上世纪90年代。大量的网站曾遭受XSS漏洞攻击或被发现此类漏洞,如Twitter、Facebook、MySpace、Orkut、新浪微博和百度贴吧。研究表明,最近几年XSS已经超过缓冲区溢出成为最流行的攻击方式,有68%的网站可能遭受此类攻击。根据开放网页应用安全计划(Open Web Application Security Project)公布的2010年统计数据,在Web安全威胁前10位中,XSS排名第2,仅次于代码注入(Injection)。
XSS漏洞(跨站脚本攻击)的危害主要表现在以下几个方面:
总之,XSS漏洞的危害非常大,因为它可以直接攻击用户的隐私和安全。攻击者可以利用这个漏洞窃取用户信息、操纵用户行为、挂马、钓鱼、恶意操纵和进行DDoS攻击等。因此,网站开发者和用户都应该高度重视XSS漏洞的防范和修复工作。
<!--jsoup-->
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.13.1</version>
</dependency>
import org.jsoup.Jsoup;
import org.jsoup.safety.Whitelist;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
/**
* Xss防御工具类
*
* @author tarzan liu
* @version V1.0
* @date 2021年7月11日
*/
public class XssKillerUtil {
private static final String[] WHITE_LIST = {"p", "strong", "pre", "code", "span", "blockquote", "em", "a"};
private static String reg = null;
private static String legalTags = null;
static {
StringBuilder regSb = new StringBuilder("<");
StringBuilder tagsSb = new StringBuilder();
for (String s : WHITE_LIST) {
regSb.append("(?!").append(s).append(" )");
tagsSb.append('<').append(s).append('>');
}
regSb.append("(?!/)[^>]*>");
reg = regSb.toString();
legalTags = tagsSb.toString();
}
/**
* xss白名单验证
*
* @param xssStr
* @return
*/
public static boolean isValid(String xssStr) {
if (null == xssStr || xssStr.isEmpty()) {
return true;
}
Pattern pattern = Pattern.compile(reg);
Matcher matcher = pattern.matcher(xssStr);
while (matcher.find()) {
String tag = matcher.group();
if (!legalTags.contains(tag.toLowerCase())) {
return false;
}
}
return true;
}
/**
* 自定义的白名单
*
* @return
*/
private static Whitelist custom() {
return Whitelist.none().addTags("p", "strong", "pre", "code", "span", "blockquote", "br").addAttributes("span", "class");
}
/**
* 根据白名单,剔除多余的属性、标签
*
* @param xssStr
* @return
*/
public static String clean(String xssStr) {
if (null == xssStr || xssStr.isEmpty()) {
return "";
}
return Jsoup.clean(xssStr, custom());
}
}
@PostMapping("comment/save")
public ResponseVo saveComment(HttpServletRequest request, Comment comment) throws UnsupportedEncodingException {
if (StringUtils.isEmpty(comment.getNickname())) {
return ResultUtil.error("请输入昵称");
}
String content = comment.getContent();
if (!XssKillerUtil.isValid(content)) {
return ResultUtil.error("内容不合法");
}
content = XssKillerUtil.clean(content.trim()).replaceAll("(<p><br></p>)|(<p></p>)", "");
Date date = new Date();
comment.setContent(content);
comment.setIp(IpUtil.getIpAddr(request));
comment.setCreateTime(date);
comment.setUpdateTime(date);
if (StringUtils.isNotBlank(comment.getQq())) {
comment.setAvatar("http://q1.qlogo.cn/g?b=qq&nk=" + comment.getQq() + "&s=100");
} else if (StringUtils.isNotBlank(comment.getEmail())) {
String entry = null;
try {
entry = MD5Util.md5Hex(comment.getEmail());
} catch (NoSuchAlgorithmException e) {
log.error("MD5出现异常{}", e.getMessage(), e);
}
comment.setAvatar("http://www.gravatar.com/avatar/" + entry + "?d=mp");
}
boolean a = commentService.save(comment);
if (a) {
return ResultUtil.success("评论提交成功,系统正在审核");
} else {
return ResultUtil.error("评论提交失败");
}
}
XSS(Cross-Site Scripting)是Web应用程序中常见的安全漏洞之一。它允许攻击者将恶意脚本注入到受害者的浏览器中,从而在用户浏览网页时执行这些恶意脚本。在本文中,我们将详细解析XSS漏洞,包括其原理、类型和防范措施。
XSS漏洞的产生主要是由于Web应用程序未能正确过滤和验证用户输入。攻击者利用这个漏洞,将恶意脚本注入到页面中的可执行区域,如HTML标签、JavaScript代码或URL参数等。当受害者浏览这个被注入恶意脚本的页面时,浏览器会执行这些脚本,导致攻击者能够获取用户的敏感信息或进行其他恶意操作。
XSS漏洞可以分为以下几种类型:
为了防止XSS漏洞的产生,我们可以采取以下几种措施:
XSS漏洞是Web应用程序安全中非常重要的一环。开发人员应始终对用户输入进行严格验证和过滤,并在输出时进行适当的编码。此外,及时更新和修补应用程序中存在的安全漏洞也是防范XSS攻击的关键。通过采取综合的安全措施,我们能够最大程度地减少XSS漏洞的风险,保护用户的数据安全。
文章浏览阅读1.6k次,点赞12次,收藏7次。大家好!大四的同学们毕业设计即将开始了,你们做好准备了吗?学长给大家精心整理了最新的计算机毕业设计选题,希望能为你们提供帮助。如果在选题过程中有任何疑问,都可以随时问我,我会尽力帮助大家。在选择毕业设计选题时,有几个要点需要考虑。首先,选题应与计算机专业密切相关,并且符合当前行业的发展趋势。选择与专业紧密结合的选题,可以使你们更好地运用所学知识,并为未来的职业发展奠定基础。要考虑选题的实际可行性和创新性。选题应具备一定的实践意义和应用前景,能够解决实际问题或改善现有技术。
文章浏览阅读3.4k次。摘要:随着电信业务的发展和电信企业经营方式的转变,DCN网络的定位发生了重大的演变。本文基于这种变化,重点讨论DCN网络的规划方法和运维管理方法。Digest: With the development oftelecommunication bussiness and the change of management of telecomcarrier , DCN’s role will cha..._电信dcn
文章浏览阅读442次。深度学习一部分矩阵求导知识的搬运总结_向量变元是什么
文章浏览阅读8次。近期,裁员的公司越来越多今天想和大家聊聊职场人的新出路。作为席卷全球的新概念ESG已然成为当前各个行业关注的最热风口目前,国内官方发布了一项ESG新证书含金量五颗星、中文ESG证书、完整ESG考试体系、名师主讲...而ESG又是与人力资源直接相关甚至在行业圈内成为大佬们的热门话题...当前行业下行,裁员的公司也越来越多大家还是冲一冲这个新兴领域01 ESG为什么重要?在双碳的大背景下,ESG已然成...
文章浏览阅读356次。云计算快速渗透到众多的行业,使中小企业受益于技术变革。最近微软SMB的一项研究发现,到今年年底,78%的中小企业将以某种方式使用云。企业希望投入少、收益高,来取得更大的发展机会。云计算将中小企业信息化的成本大幅降低,它们不必再建本地互联网基础设施,节省时间和资金,降低了企业经营风险。科技创新已成时代的潮流,中小企业上云是创新前提。云平台稳定、安全、便捷的IT环境,提升企业经营效率的同时,也为企业..._系统上云的前后对比
文章浏览阅读899次。出现选网卡的时候无法选中,这里应该是一个bug。3.保存退出,重启虚拟机即可。1.先随便选择一个网卡。2.勾先取消再重新勾选。_esxi虚拟机无法联网
文章浏览阅读913次。在LaTeX中,可在.tex文件的同一级目录下创建egbib.bib文件,所有的参考文件信息可以统一写在egbib.bib文件中,然后在.tex文件的\end{document}前加入如下几行代码:{\small\bibliographystyle{IEEEtran}\bibliography{egbib}}即可在文章中用~\cite{}宏命令便捷的插入文内引用,且文章的Reference部分会自动排序、编号。..._egbib
文章浏览阅读950次。目录:Unity Shader - 知识点目录(先占位,后续持续更新)原文:Predefined Shader preprocessor macros版本:2019.1Predefined Shader preprocessor macros着色器预处理宏Unity 编译 shader programs 期间的一些预处理宏。(本篇的宏介绍随便看看就好,要想深入了解,还是直接看Unity...
文章浏览阅读195次。本文目录:一、大数据时代还需要数据治理吗?二、如何面向用户开展大数据治理?三、面向用户的自服务大数据治理架构四、总结一、大数据时代还需要数据治理吗?数据平台发展过程中随处可见的数据问题大数据不是凭空而来,1981年第一个数据仓库诞生,到现在已经有了近40年的历史,相对数据仓库来说我还是个年轻人。而国内企业数据平台的建设大概从90年代末就开始了,从第一代架构出现到..._数据治理从0搭建
文章浏览阅读2.2k次,点赞4次,收藏12次。高手请一笑而过。物理实验课别人已经做过3、4个了,自己一个还没做呢。不是咱不想做,而是咱不想起那么早,并且仅有的一次起得早,但是哈工大的服务器竟然超负荷,不停刷新还是不行,不禁感慨这才是真正的“万马争过独木桥“啊!服务器不给力啊……好了,废话少说。其实,我的想法很简单。写一个三重循环,不停地提交,直到所有的数据都accepted。其中最关键的是提交最后一个页面,因为提交用户名和密码后不需要再访问其..._哈尔滨工业大学抢课脚本
文章浏览阅读4.9k次。一些别人收集的英文站点 http://www.lifeinchina.cn (nice) http://www.huaren.us/ (nice) http://www.hindu.com (okay) http://www.italki.com www.talkdatalk.com (transfer)http://www.en8848.com.cn/yingyu/index._study english html
文章浏览阅读5.5k次,点赞19次,收藏78次。什么是栈?在谈M3堆栈之前我们先回忆一下数据结构中的栈。栈是一种先进后出的数据结构(类似于枪支的弹夹,先放入的子弹最后打出,后放入的子弹先打出)。M3内核的堆栈也不例外,也是先进后出的。栈的作用?局部变量内存的开销,函数的调用都离不开栈。了解了栈的概念和基本作用后我们来看M3的双堆栈栈cortex-M3内核使用了双堆栈,即MSP和PSP,这极大的方便了OS的设计。MSP的含义是Main..._stm32 msp psp