此篇為轉載分享文
XSS攻擊測試代碼,主要攻擊是通過在輸入框內輸入獲取服務器的cookie的信息,從而登陸你的服務器,
原理是通過在前端的關鍵字內輸入攻擊的值,然后這些值存儲在數據庫內,后端服務器通過調取這個鍵值對,從而觸發獲取服務器端的cookie信息。
所以前后端要進行特殊字符的處理,不讓輸入一些特殊標簽,如<script>,HTML等代碼標簽或者特殊字符
1.獲取用戶的cookie
<script>alert(document.cookie)</script>
οnclick=alert(document.cookie)
2.擾亂頁面布局
<iframe src="http://baidu.com"></iframe>
<script>alert("hello")</script>
3.在頁面鏈接上參數后輸入腳本/在輸入框內輸入js腳本
XSS 漏洞修復
原則: 不相信客戶輸入的數據
注意: 攻擊代碼不一定在<script></script>中
將重要的cookie標記為http only, 這樣的話Javascript 中的document.cookie語句就不能獲取到cookie了.
需要對用戶的輸入進行處理,只允許用戶輸入我們期望的數據,其它值一概過濾掉。例如: 年齡的textbox中,只允許用戶輸入數字。 而數字之外的字符都過濾掉。
對數據進行Html Encode 處理
過濾或移除特殊的Html標簽, 例如: <script>, <iframe> , < for <, > for >, " for
過濾JavaScript 事件的標簽。例如 “οnclick=”, “onfocus” 等等。
————————————————
原文鏈接:https://blog.csdn.net/mayanyun2013/java/article/details/84581754