从零开始搭建自己的网站二十三:前端XSS攻击解决方法

XSS介绍:

XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。 


举个例子,在文章评论框中输入

<img src="1" onerror="alert('from xss')">

如果没有进行任何转义

undefined

打开页面就会提示alert

转义之后,内容就能正常显示,下面是两条评论,其中一条已转义,一条未转义

undefined

如果没有处理xss攻击,黑客就可以通过一些语句获取cookie的语句,从而获取到用户的数据

解决办法:

我们在后台对文章评论内容进行转义

    /**
     * 清除xss攻击的转义方法
     *
     * @param value 字符串
     */
    public static String cleanXSS(String value) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

下面是数据库中存储的转义后和转义前的内容

undefined


评论 抢沙发

表情
  1. #1

    来自 匿名 的用户 (2019-05-25 13:19:52)

    dasd

    49.89.5.53
    回复
  2. #2

    来自 匿名 的用户 (2019-06-11 22:49:44)

    ...

    113.64.74.31
    回复
  3. #3

    来自 匿名 的用户 (2019-06-22 15:55:36)

    ‘’

    118.123.70.23
    回复
Title