此篇为转载分享文
XSS攻击测试代码,主要攻击是通过在输入框内输入获取服务器的cookie的信息,从而登陆你的服务器,
原理是通过在前端的关键字内输入攻击的值,然后这些值存储在数据库内,后端服务器通过调取这个键值对,从而触发获取服务器端的cookie信息。
所以前后端要进行特殊字符的处理,不让输入一些特殊标签,如<script>,HTML等代码标签或者特殊字符
1.获取用户的cookie
<script>alert(document.cookie)</script>
οnclick=alert(document.cookie)
2.扰乱页面布局
<iframe src="http://baidu.com"></iframe>
<script>alert("hello")</script>
3.在页面链接上参数后输入脚本/在输入框内输入js脚本
XSS 漏洞修复
原则: 不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中
将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
需要对用户的输入进行处理,只允许用户输入我们期望的数据,其它值一概过滤掉。例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
对数据进行Html Encode 处理
过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, " for
过滤JavaScript 事件的标签。例如 “οnclick=”, “onfocus” 等等。
————————————————
原文链接:https://blog.csdn.net/mayanyun2013/java/article/details/84581754