分类：xss

2021
07-09

详解前端安全之JavaScript防http劫持与XSS

目录HTTP劫持、DNS劫持与XSSHTTP劫持DNS劫持XSS跨站脚本页面被嵌入iframe中，重定向iframe使用白名单放行正常iframe嵌套更改URL参数绕过运营商标记内联事件及内联脚本拦截浏览器事件模型静态脚本拦截使用白名单对src进行匹配过滤动态脚本拦截MutationEvents与DOMNodeInserted重写setAttribute与document.write重写原生Element.prototype.setAttribute方法重写嵌套iframe内的Element.prototype.setAttribute重... 继续阅读 >

2020
09-27

springboot2.x使用Jsoup防XSS攻击的实现

后端应用经常接收各种信息参数，例如评论，回复等文本内容。除了一些场景下面，可以特定接受的富文本标签和属性之外(如:b,ul,li,h1,h2,h3...),需要过滤掉危险的字符和标签，防止xss攻击。一、什么是XSS?看完这个，应该有一个大致的概念。XSS攻击常识及常见的XSS攻击脚本汇总XSS过滤速查表二、准则永远不要相信用户的输入和请求的参数(包括文字、上传等一切内容)参考第1条三、实现做法结合具体业务场景，对相应内容进行过... 继续阅读 >

2015
09-17

PHP防XSS 防SQL注入的代码

functiongjj($str){$farr=array("/\\s+/","/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU","/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",);$str=preg_replace($farr,"",$str);returnaddslashes($str);}functionhg_input_bb($array){if(is_array($array)){foreach($arrayAS$k=>$v){$array[$k]=h... 继续阅读 >

2015
01-27

Yii框架中使用CHtmlPurifier过滤文本内容防止XSS攻击

1、在控制器中使用：publicfunctionactionCreate(){$model=newNews;$purifier=newCHtmlPurifier();$purifier->options=array('URI.AllowedSchemes'=>array('http'=>true,'https'=>true,),'HTML.Allowed'=>'div',);if(isset($_POST['News'])){$model->attributes=$_POST['News'];$model->attributes['content']=$purifier... 继续阅读 >

2014
11-07

Yii框架官方指南系列51——专题：安全措施 (Security)

1.跨站脚本攻击的防范跨站脚本攻击(简称XSS)，即web应用从用户收集用户数据。攻击者常常向易受攻击的web应用注入JavaScript，VBScript，ActiveX，HTML或Flash来迷惑访问者以收集访问者的信息。举个例子，一个未经良好设计的论坛系统可能不经检查就显示用户所输入的内容。攻击者可以在帖子内容中注入一段恶意的JavaScript代码。这样，当其他访客在阅读这个帖子的时候，这些JavaScript代码就可以在访客的电脑上运行了。一个... 继续阅读 >