防XSS攻击.docVIP

防XSS攻击 一、什么是XSS攻击 html代码里有一些特殊意义的字符，比如 等，这些字符在页面上会被当成html代码运行。XSS攻击就是抓住了这个漏洞，在Web页面里插入恶意html代码从而达到恶意用户的特殊目的。 二、XSS攻击的实例与危害 在输入框里写入一条JS的弹框代码然后跳转到另外一个页面输出 因为这段字符在页面上输出会被当成html代码运行 只是一个弹框的代码对页面没有什么太大影响，但是如果输入的是 script$(document).ready(function(){$(html).remove()})/script并且存入数据库里，每次这条语句被输出时就会导致整个页面的所有元素都会被删除。 除以上对界面美观的危害外，攻击者还会用以下攻击方式对网站安全造成威胁 （1）盗用 cookie ，获取敏感信息。 利用植入 Flash ，通过 crossdomain 权限设置进一步获取更高权限；或者利用Java等得到类似的操作。 利用 iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作。 利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。 在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。 public static String getSafeStringXSS(String s) { if (s == null || .equals(s)) { return s; } StringBuilder sb = new StringBuilder(); //使用StringBuilder来处理字符串 for (int i = 0; i s.length(); i++) { //字符串的每一个字符进行比较，出现html代码就将其替换为实体引用 char c = s.charAt(i); switch (c) { case : sb.append(lt;); break; case : sb.append(gt;); break; case \: sb.append(prime;); break; case ′: sb.append(prime;); break; case \: sb.append(quot;); break; case ＂: sb.append(quot;); break; case : sb.append(＆); break; case #: sb.append(＃); break; case \\: sb.append(￥); break; case =: sb.append(#61;); break; default: sb.append(c); break; } } return sb.toString(); } 接下来我们开始调用这个方法，在keyword里输入一段JS的弹框方法，getSafeStringXSS方法进行过滤 public static void main(String[] args) { String keyword = scriptalert(xss);/script; System.out.println(过滤后: + getSafeStringXSS(keyword)); } 将这段代码复制进页面里预览将会以文本的方式输出，不会当成html代码执行。