簡單描述
xss是指惡意攻擊者利用**沒有對使用者提交資料進行轉義處理或者過濾不足的缺點,進而新增一些**,嵌入到web頁面中去。使別的使用者訪問都會執行相應的嵌入**。針對這種情況,我們可以對使用者提交的資料在php端使用函式過濾掉html標籤即可。使用富文字編輯器時,如:ueditor時,編輯器也會自動把使用者輸入的html標籤轉換為html實體。
特殊情況
但有一種特殊的情況:希望使用者自主編輯文字的樣式,而不侷限於富文字提供的樣式。此時會修改富文字編輯器的配置檔案,使富文字編輯器在html模式下輸入的**不把html標籤轉換為實體;或者直接使用input框。這時候在php端就不能再使用函式把標籤或者符號去掉了,如果去掉,使用者自定義的css樣式就無法生效。
但是若不去掉,使用者可能會輸入一些js或者其他**,進行xxs攻擊。此時可以呼叫第三的過濾工具 xxs ,對可能造成xxs攻擊的標籤和屬性進行過濾,保證html**的純淨
目前想到的需要過濾的標籤為:script標籤,form下的action屬性,
若不想把script標籤一棍子打死,想保留些簡單的js功能,xss可以自定義script下的白面單
其他的想到再補充
跨站指令碼攻擊 XSS
跨站指令碼攻擊,cross site script,為了區別css,英文縮寫為xss xss攻擊,通常指hacker通過 html注入 篡改了網頁,插入惡意的指令碼,從而在使用者瀏覽網頁時,控制使用者瀏覽器的一種攻擊。xss根據效果的不同可以分為如下幾類 1.反射型xss 通過將使用者輸入的資料 反...
Xss跨站指令碼攻擊
1.內容 攻擊者在web網頁中插入惡意js 當使用者瀏覽該瀏覽器頁面的時候,嵌入web中的js 會被執行,從而受到惡意攻擊,這就是跨站指令碼攻擊。xss指令碼植入方式前台接收資料存入資料庫,在渲染頁面時從資料庫中讀取相應資訊 2 分類 1 反射性的xss 發出請求時,xss 出現在url中,作為輸入...
xss 跨站指令碼攻擊
這是乙個非常簡單的攻擊。兩個頁面如下 out.print request.getparameter content 如果攻擊者在輸入框裡面輸入以下內容 那麼就有以下結果 當然,使用者還可以輸入 不僅可以注入script,還可以直接注入html http localhost 8080 test myj...