XSS攻击

什么是XSS攻击手段

XSS攻击使用Javascript脚本注入进行攻击

例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。

<script>alert('sss')</script>

<script>window.location.href='http://www.learn.com';</script>

对应html源代码: &lt;script&gt;alert('sss')&lt;/script&gt;

最好使用火狐浏览器演示效果

package com.learn.controller;import javax.servlet.http.HttpServletRequest;import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;@Controller
public class IndexController {// 转发到index页面@RequestMapping("/index")public String index() {return "index";}// 接受頁面 參數@RequestMapping("/postIndex")public String postIndex(HttpServletRequest request) {request.setAttribute("name", request.getParameter("name"));return "forward";}}

spring.mvc.view.prefix=/WEB-INF/jsp/
spring.mvc.view.suffix=.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body><form action="postIndex" method="post">输入内容: <input type="text" name="name"> <br> <inputtype="submit"></form>
</body>
</html>
<%@ page language="java" contentType="text/html; charset=UTF-8"pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>${name}
</body>
</html>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>com.learn</groupId><artifactId>springboot-web</artifactId><version>0.0.1-SNAPSHOT</version><packaging>war</packaging><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>1.5.12.RELEASE</version></parent><dependencies><dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-spring-boot-starter</artifactId><version>1.1.1</version></dependency><!-- mysql 依赖 --><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId></dependency><!-- SpringBoot 对lombok 支持 --><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId></dependency><!-- SpringBoot web 核心组件 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-tomcat</artifactId></dependency><!-- SpringBoot 外部tomcat支持 --><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-jasper</artifactId></dependency><!-- springboot-log4j --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-log4j</artifactId><version>1.3.8.RELEASE</version></dependency><!-- springboot-aop 技术 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-aop</artifactId></dependency><!-- https://mvnrepository.com/artifact/commons-lang/commons-lang --><dependency><groupId>commons-lang</groupId><artifactId>commons-lang</artifactId><version>2.6</version></dependency></dependencies>
</project>

什么是XSS攻击XSS攻击应用场景相关推荐

  1. 吃透浏览器安全(同源限制/XSS/CSRF/中间人攻击)

    前言 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点.在移动互联网时代,特别是前端人员除了传统的 XSS.CSRF 等安全问题之外,又时常遭遇网 ...

  2. XSS、CSRF攻击以及预防手段

    文章目录 XSS 反射型 持久型 DOM型 XSS如何防御? CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞. 恶 ...

  3. 跨站脚本攻击(XSS)详解

    XSS简介 XSS(Cross Site Script)攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击. 一开始, ...

  4. DVWA学习之XSS(跨站脚本攻击)(超级详细)

    DVWA学习之XSS XSS 跨站脚本攻击 0x01 XSS(Cross Site Script)简介 0x02 何为XSS 0x03 XSS存在的原因 0x04 XSS漏洞的危害 0x05 XSS ...

  5. 关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)

    我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子 ...

  6. 【转载】关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)

    我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子 ...

  7. 「第三章」跨站脚本攻击(XSS)

    批注[--] 表示他人.自己.网络批注参考资料来源于* 书中批注* CSDN* GitHub* Google* 维基百科* YouTube* MDN Web Docs由于编写过程中无法记录所有的URL ...

  8. 浅析几种常见Web攻击-DoS攻击、CSRF、XSS

    常见的Web安全问题有DoS攻击.CSRF攻击.XSS漏洞等.本文将简单介绍一下这几种常见的工具方式. DoS攻击 DoS(Denial of Service),拒绝服务,顾名思义这种攻击是为了让服务 ...

  9. XSS漏洞自动化攻击工具XSSer

    XSS漏洞自动化攻击工具XSSer XSS是Web应用常见的漏洞.利用该漏洞,安全人员在网站注入恶意脚本,控制用户浏览器,并发起其他渗透操作.XSSer是Kali Linux提供的一款自动化XSS攻击 ...

  10. [Web安全之实战] 跨站脚本攻击XSS

    文章Points: 1. 认识XSS 2. XSS攻击 3. XSS防御(重点) 一.认识XSS先 先说个故事吧,在上一篇,我还想说这个案例.其实什么叫攻击,很简单.获取攻击者想要的信息,就黑成功了. ...

最新文章

  1. 基于FPGA的SPI FLASH控制器设计
  2. 增加数据_PVC行业数据| 累库是趋势,华南海运中旬料增加(1230)
  3. android gradle tools 3.X 中依赖,implement、api 和compile区别
  4. mysql keepalived主主同步_KEEPALIVED+MYSQL主主同步=MYSQL高可用(HA)集群
  5. 微信二维码支付快速入门
  6. Office PPT如何切换到返回幻灯片
  7. Linux(CentOS)中常用软件安装,使用及异常——Zookeeper, Kafka
  8. CentOS 安装及使用 terraform 最新教程
  9. base cap 分布式_高并发架构系列:详解分布式一致性ACID、CAP、BASE,以及区别
  10. 英语c开头语言,字母c开头的英语短语
  11. mac下通过brew安装的Nginx在哪
  12. nodejs libararies
  13. Express 入门
  14. java ajax上传文件
  15. 谈谈坚持写博客的感悟
  16. 【MILP】Mixed-Integer Quadratic Programming portfolio optimzation
  17. 大数据学习零基础能够学会不?
  18. 用python爬取交大图书馆图书信息
  19. mysql插入中文报错处理办法
  20. 常见的块元素 行内元素 行内块元素

热门文章

  1. 在C#中怎么调用Resources文件中的图片
  2. TOJ 4393 Game
  3. 【读书笔记】泛型接口 和 泛型方法
  4. InetAddress.getLocalHost()详解及异常处理
  5. (四)Canvas API方法和属性汇总
  6. C#中判断系统的网络连接状态的方法
  7. P2253 好一个一中腰鼓!
  8. grenndao 插入表数据报错
  9. BZOJ-1968: [Ahoi2005]COMMON 约数研究 (思想)
  10. gmock学习01---Linux配置gmock