HTML注入/如何防止页面html脚本注入及sql注入

https://blog.csdn.net/bylfsj/article/details/101219054

https://blog.csdn.net/yiXin_Chen/article/details/122078924

HTML注入是当网页无法清理用户提供的输入或验证输出时出现的最简单，最常见的漏洞之一，从而使攻击者能够制作有效载荷并通过易受攻击的字段将恶意HTML代码注入应用程序中，以便他可以修改网页内容，甚至获取一些敏感数据。

让我们看一下这种情况，并了解如何执行此类HTML注入攻击：

考虑一个遭受HTML注入漏洞并且不验证任何特定输入的Web应用程序。因此，攻击者发现了这一点，并向其注入了带有“免费电影票”诱饵的恶意“ HTML登录表单”，以诱骗受害者提交其敏感的凭据。

现在，当受害者浏览该特定网页时，他发现可以使用那些“免费电影票”了。当他单击它时，他会看到该应用程序的登录屏幕，这只是攻击者精心制作的“ HTML表单”。因此，攻击者一输入凭据，便会通过其侦听器捕获所有凭据，从而导致受害者破坏其数据。

 

防止页面html脚本注入示例:

在接收到页面参数时,在进行数据添加或者修改时, 将<>符号进行转义:

/*防止脚本注入*/
String realName = staff.getRealName().trim().replace("<","&lt;").replace(">","&gt;");
staff.setRealName(realName);

注:防止页面html脚本注入

将 "<" 转换成 <

">" 转换成 >

双引号 转换成 "

单引号 转换成 '

 

————————————————
版权声明：本文为CSDN博主「亦昕跑的码」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/yiXin_Chen/article/details/122078924