XSS攻击测试代码

此篇为转载分享文

XSS攻击测试代码，主要攻击是通过在输入框内输入获取服务器的cookie的信息，从而登陆你的服务器，

原理是通过在前端的关键字内输入攻击的值，然后这些值存储在数据库内，后端服务器通过调取这个键值对，从而触发获取服务器端的cookie信息。

所以前后端要进行特殊字符的处理，不让输入一些特殊标签，如<script>，HTML等代码标签或者特殊字符

1.获取用户的cookie

<script>alert(document.cookie)</script>

οnclick=alert(document.cookie)

2.扰乱页面布局

<iframe src="http://baidu.com"></iframe>

<script>alert("hello")</script>

3.在页面链接上参数后输入脚本/在输入框内输入js脚本

 

XSS 漏洞修复

　　原则：　不相信客户输入的数据

　　注意:  攻击代码不一定在<script></script>中

　　将重要的cookie标记为http only,   这样的话Javascript 中的document.cookie语句就不能获取到cookie了.

     需要对用户的输入进行处理，只允许用户输入我们期望的数据，其它值一概过滤掉。例如：　年龄的textbox中，只允许用户输入数字。 而数字之外的字符都过滤掉。

　　对数据进行Html Encode 处理

　　过滤或移除特殊的Html标签， 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for

　　过滤JavaScript 事件的标签。例如 “οnclick=”, “onfocus” 等等。
————————————————
原文链接：https://blog.csdn.net/mayanyun2013/java/article/details/84581754