当前位置：首页 > news >正文

不好！有敌情，遭到XSS攻击【网络安全篇】

news 2025/11/1 14:28:11

XSS：当一个目标的站点，被我们用户去访问，在渲染HTMl的过程中，出现了没有预期到的脚本指令，然后就会执行攻击者用各种方法注入并执行的恶意脚本，这个时候就会产生XSS。

涉及方：

用户（通过浏览器去访问网页）
攻击者（通过各种办法让用户访问页面执行恶意脚本，盗取信息）
Web服务器（存储并返回恶意脚本）

XSS的危害

挂马

网页挂马是指在一个程序中利用木马生成器生成一个网码，加上一些代码，可以让木马程序再打开网页的时候就立即执行。

XSS的危害-挂马

盗取用户的Cookie

盗取了用户的关键信息后，就可以模拟去做一些事情：包含但不局限于转账请求、恶意信息发送请求、未知文件下载请求、删除目标文章、恶意篡改数据、嫁祸。

蠕虫病毒

爆发 Web2.0 蠕虫病毒
蠕虫式的DDoS攻击
蠕虫式挂马攻击、刷广告、刷流量、破坏网上数据

其它

DDoS（拒绝服务）客户端浏览器。
钓鱼攻击，高级的钓鱼技巧。
劫持用户 Web 行为，甚至进一步渗透内网。

XSS种类

截屏2023-03-06 21.58.35.png

反射型

指发出一个请求的时候，XSS的恶意代码出现在我们的访问链接之中，它作为一部分的数据提交到我们的服务器，服务器解析之后进行响应，代码就会随着响应传回到浏览器中。

比如我们在输入框中输入字符，并且检索，网页也会把结果返回到页面上：

截屏2023-03-06 22.19.15.png

URL里面有什么请求字符，就把请求字符反射到前端页面上：
截屏2023-03-06 22.19.50.png

如果我们把值替换成<script>标签呢?
截屏2023-03-06 22.23.12.png

<script>标签的内容就会成为网页的一部分了，浏览器看到<script>标签就会执行，弹出警示框：

截屏2023-03-06 22.23.31.png

看到这里，我们可能觉得这个小弹窗没什么的，但是真正要进行攻击的黑客只是用这个弹窗来检测网页是否有漏洞，然后再进行更深层次的攻击。

存储型

举一个最常见的评论例子：

截屏2023-03-06 22.34.08.png

当我们提交之后，信息会被保存在服务器里，也就造成了所有浏览此网页看到此评论的人都会执行此脚本，用户不知情，用户越多，中招的人数也就越多，没有乱点链接也中招，想想就可怕。

DOM型

我们来分析：

URL地址#（hash）的参数不会发送给服务器
Img标签做了字符串拼接
把id为tabContent的html设置为变量名为html的值
接下来我们看有没有可以被注入的方法呢？
我们可以看到chooseTab函数被注入了一个要命的值（location.hash），也就是URL上 # 的值，这也就是黑客最想找到值，黑客就可以修改 # 后面的值，从而触发 JQ 的 html() 方法
如下代码明显是执行不了src属性，就会触发onerror并执行脚本
如果这段字符被加在URL后面并执行的话
因为网页的源码同时存在可以被操作的属性和方法，导致网页文档结构被修改，页面就会触发脚本的加载

防御敌情

对一些敏感信息进行保护，比如 cookie 使用 http-only，使得脚本无法获取。
可以使用验证码，避免脚本伪装成用户执行一些操作。
输入处理：
- 包括用户输入、URL参数、POST请求参数
- 黑名单脚本过滤，如：<script>alert(...)</script>，标签替换，只留中间
- 白名单过滤，如：像用户名密码，正则匹配用户输入，限制输入位数，限制输入字符等
输出处理
- <script>alert(...)</script>对输出的编码做转译
- < : <
- > : &1t;
- & : &am;
- " : quot;
- ' : '
- \ : \\
- / : \/
- ; : ；
XSS拦截转换
- node

最后

XSS存在的最根本原因是我们对url中的参数或者用户需要输入的地方没有做一个充分的过滤，所以就会有一些不合法的参数或者输入内容能够到我们的 Web服务器 ，最后用户访问前端页面的时候，就可能将这段代码拉过来又执行了一遍，对我们程序或者我们程序猿本身而言，XSS的防范至关重要。

相关资料

XSS网络攻击 - 原理，类型和实践
XSS 原理和攻防 - Web 安全常识

水平有限，还不能写到尽善尽美，希望大家多多交流，跟春野一同进步！！！

不好！有敌情，遭到XSS攻击【网络安全篇】

XSS：当一个目标的站点，被我们用户去访问，在渲染HTMl的过程中，出现了没有预期到的脚本指令，然后就会执行攻击者用各种方法注入并执行的恶意脚本，这个时候就会产生XSS。涉及方： 用户&#xff0…...

编程日记 2023/4/24 23:47:54

Mysql中Explain详解及索引的最佳实践1.Explan工具的介绍1.1 Explan 分析示例1.2 Explain中的列1.2.1 id1.2.2 select_type1.2.3 table1.2.4 partitions1.2.5 type1.2.6 possible_keys1.2.7 key1.2.8 key_len1.2.9 ref1.2.10 rows1.2.11 filtered1.2.12 Extra1.Explan工具的介绍…...

编程日记 2023/4/24 20:28:31

JavaScript 内的 this 指向

在 javascript 语言中, 有一个奇奇怪怪的 “关键字” 叫做 this为什么说它是奇奇怪怪呢, 是因为你写出 100 个 this, 可能有 100 个解释, 完全不挨边，但是, 在你的学习过程中, 搞清楚了 this 这个玩意, 那么会对你的开发生涯有很大帮助的，接下来咱们就…...

编程日记 2023/4/25 18:46:31

Java多种方法实现等待所有子线程完成再继续执行

简介在现实世界中，我们常常需要等待其它任务完成，才能继续执行下一步。Java实现等待子线程完成再继续执行的方式很多。我们来一一查看一下。 Thread的join方法该方法是Thread提供的方法，调用join()时，会阻塞主线程&#xff0…...

编程日记 2023/4/25 18:46:28

制造企业数字化工厂建设步骤的建议

随着工业4.0、中国制造2025的深度推进，越来越多的制造企业开始迈入智能制造的领域，那数字工厂要从何入手呢？ 数字工厂规划的核心，也正是信息域和物理域这两个维度，那就从这两个维度来进行分析，看如何进行数…...

编程日记 2023/4/25 18:46:26

网上鲜花交易平台，可运行

文章目录项目介绍一、项目功能介绍1、用户模块主要功能包括：2、商家模块主要功能包括：3、管理员模块主要功能包括：二、部分页面展示1、用户模块部分功能页面展示2、商家模块部分功能页面展示3、管理员模块部分功能页面展示三、部分源码四、底…...

编程日记 2023/4/25 18:46:23

【实战】用 Custom Hook + TS泛型实现 useArray

文章目录一、题目二、答案（非标准）三、关键知识点1.Custom Hook关键点案例useMountuseDebounce2.TS 泛型关键点一、题目完善自定义 Hook —— useArray ，使其能够完成 tryUseArray 组件中测试的功能： 入参：数组返回…...

编程日记 2023/4/25 18:46:20

【LeetCode】剑指 Offer（18）

目录题目：剑指 Offer 35. 复杂链表的复制 - 力扣（Leetcode） 题目的接口： 解题思路： 代码： 过啦！！！ 写在最后： 题目：剑指 Offer 35. 复杂链…...

编程日记 2023/4/25 18:46:18

Kubernetes节点运行时从Docker切换到Containerd

由于k8s将于1.24版本弃用dockershim，所以最近在升级前把本地的k8s切换到了Containerd运行时，目前我的k8s版本是1.22.5，一个master，二个Node的配置，以下做为一个操作记录日志整理，其它可以参考官网文档。在…...

编程日记 2023/4/25 18:46:15

【编程基础之Python】12、Python中的语句

【编程基础之Python】12、Python中的语句Python中的语句赋值语句条件语句循环语句for循环while循环continue语句break语句continue与break的区别函数语句pass语句异常处理语句结论Python中的语句 Python是一种高级编程语言，具有简单易学的语法，适用于各…...

编程日记 2023/4/25 18:46:13

android h5餐饮管理系统myeclipse开发mysql数据库编程服务端java计算机程序设计

一、源码特点 android h5餐饮管理系统是一套完善的WEBandroid设计系统，对理解JSP java，安卓app编程开发语言有帮助（系统采用web服务端APP端综合模式进行设计开发），系统具有完整的源代码和数据库，系统主要…...

编程日记 2023/4/25 18:46:10

容易混淆的嵌入式(Embedded)术语

因为做嵌入式开发工作虽然跳不出电子行业，但还是能接触到跨度较大的不同行当，身处不同的圈子。诸如医疗，银行，车载，工业；亦或者手机，PC，专用芯片；甚至可能横跨系统开发、…...

编程日记 2023/4/25 18:46:08

Nodejs 中 JSON 和 YAML 互相转换

JSON 转换成 YAML 1. 安装 js-yaml 库: npm install js-yaml2. 在程序中引入依赖库 const yaml require(js-yaml);3. 创建一个 js 对象, 代表 json 数据 const jsonData {name: John,age: 30,city: New York };4. 使用 yaml.dump() 把 js 对象转换成 YAML, 返回 YAML 字符…...

编程日记 2023/4/25 18:46:05

C++入门教程｜｜C++ 修饰符类型｜｜C++ 存储类

C 修饰符类型 C 允许在 char、int 和 double 数据类型前放置修饰符。修饰符用于改变基本类型的含义，所以它更能满足各种情境的需求。下面列出了数据类型修饰符： signedunsignedlongshort 修饰符 signed、unsigned、long 和 short 可应用于整型&#…...

编程日记 2023/4/25 18:46:02

Android开发面试：Java知识答案精解

目录 Java 集合集合概述 HashMap ConcurrentHashMap 泛型反射注解 IO流异常、深浅拷贝与Java8新特性 Java异常深浅拷贝 Java8新特性并发线程线程池锁 volatile JVM 内存区域内存模型类加载机制垃圾回收机制如何判断对象已死 Java 集合 …...

编程日记 2023/4/26 6:21:33

Windows上一款特别好用的画图软件

安装废话不多说，打开windows的应用商店，搜索draw.io，点击获取即可。画图 draw.io的布局左边是各种图形组件，中间是画布，右边是属性设置，文件扩展名是.drawio。点击左边列表中的图形可以将它添加到画…...

编程日记 2023/4/26 2:45:14

html--学习

javascrapt交互，网页控制JavaScript：改变 HTML 图像本例会动态地改变 HTML <image> 的来源（src）：点亮灯泡<script>function changeImage() {elementdocument.getElementById(myimage) #内存变量&#xff0…...

编程日记 2023/4/26 2:45:12

关于递归处理，应该怎么处理，思路是什么？

其实问题很简单，就是想要循环遍历整个data对象，来实现所有name转成label，但是想到里面还有children属性，整个children里面可能还会嵌套很多很多的name，如此循环，很难搞，知道使用递归&#xff0c…...

编程日记 2023/4/26 2:45:10

重磅！牛客笔试客户端可防ChatGPT作弊

上线俩月，月活过亿。爆火的ChatGPT能代写文，撕代码，善玩梗，秒答题，几乎“无所不能”，争议也随之而来。调查显示，截至2023年1月，美国89%的大学生利用ChatGPT应付作业，53%的…...

编程日记 2023/4/26 2:45:08

春季训练营 | 前端+验证直通车-全实操项目实践，履历加成就业无忧

“芯动的offer”是2023年E课网联合企业全新推出集训培优班（线下），针对有一定基础（linux、verilog、uvm等）在校学生以及想要通过短时间的学习进入到IC行业中的转行人士，由资深IC设计工程师带教，通…...

编程日记 2023/4/26 2:45:06

java_网络服务相关_gateway_nacos_feign区别联系

1. spring-cloud-starter-gateway 作用：作为微服务架构的网关，统一入口，处理所有外部请求。核心能力： 路由转发（基于路径、服务名等）过滤器（鉴权、限流、日志、Header 处理）支持负…...

编程新知 2025/10/30 5:06:46

大话软工笔记—需求分析概述

需求分析，就是要对需求调研收集到的资料信息逐个地进行拆分、研究，从大量的不确定“需求”中确定出哪些需求最终要转换为确定的“功能需求”。需求分析的作用非常重要，后续设计的依据主要来自于需求分析的成果，包括: 项目的目的…...

编程新知 2025/10/30 1:30:44

Redis相关知识总结（缓存雪崩，缓存穿透，缓存击穿，Redis实现分布式锁，如何保持数据库和缓存一致）

文章目录 1.什么是Redis？2.为什么要使用redis作为mysql的缓存？3.什么是缓存雪崩、缓存穿透、缓存击穿？3.1缓存雪崩3.1.1 大量缓存同时过期3.1.2 Redis宕机 3.2 缓存击穿3.3 缓存穿透3.4 总结 4. 数据库和缓存如何保持一致性5. Redis实现分布式…...

编程新知 2025/11/1 2:50:59

基于数字孪生的水厂可视化平台建设：架构与实践

分享大纲： 1、数字孪生水厂可视化平台建设背景 2、数字孪生水厂可视化平台建设架构 3、数字孪生水厂可视化平台建设成效近几年，数字孪生水厂的建设开展的如火如荼。作为提升水厂管理效率、优化资源的调度手段，基于数字孪生的水厂可视化平台的…...

编程新知 2025/8/24 3:48:04

AI编程--插件对比分析：CodeRider、GitHub Copilot及其他

AI编程插件对比分析：CodeRider、GitHub Copilot及其他随着人工智能技术的快速发展，AI编程插件已成为提升开发者生产力的重要工具。CodeRider和GitHub Copilot作为市场上的领先者，分别以其独特的特性和生态系统吸引了大量开发者。本文将从功…...

编程新知 2025/7/6 18:33:10

SpringTask-03.入门案例

一.入门案例启动类： package com.sky;import lombok.extern.slf4j.Slf4j; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.cache.annotation.EnableCach…...

编程新知 2025/10/31 1:15:07

ArcGIS Pro制作水平横向图例+多级标注

今天介绍下载ArcGIS Pro中如何设置水平横向图例。之前我们介绍了ArcGIS的横向图例制作：ArcGIS横向、多列图例、顺序重排、符号居中、批量更改图例符号等等（ArcGIS出图图例8大技巧），那这次我们看看ArcGIS Pro如何更加快捷的操作。…...

编程新知 2025/11/1 2:16:09

A2A JS SDK 完整教程：快速入门指南

目录什么是 A2A JS SDK?A2A JS 安装与设置A2A JS 核心概念创建你的第一个 A2A JS 代理A2A JS 服务端开发A2A JS 客户端使用A2A JS 高级特性A2A JS 最佳实践A2A JS 故障排除什么是 A2A JS SDK? A2A JS SDK 是一个专为 JavaScript/TypeScript 开发者设计的强大库&#xff…...

编程新知 2025/9/29 5:00:25