本站已运行

攻城狮论坛

作者: 合肥清默
查看: 3609|回复: 43

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

【思科技术】xss漏洞和csrf漏洞防御

  [复制链接]
查看: 3609|回复: 43
开通VIP 免金币+免回帖+批量下载+无广告

xss防御:

1、尽量少将域名的domain设为域名的根下面,减少分站xss漏洞对主站的影响;
; _2 R" V- j5 Q  \3 K5 M2、对输入的数据进行过滤检查:# p* d  Z# j1 ^! {7 V" k
public static String htmlSpecialChars(final String s) {( E9 Q! B/ v# W" T0 o
String result = s;
, y, x" {; f- C2 z* @+ N% Nresult = regexReplace("&", "&", result);
( f% r. z+ X: H7 Rresult = regexReplace(""", """, result);7 b" T0 q/ p4 N/ d
result = regexReplace("<", "<", result);4 ~1 N% Y, h; i3 ?; V
result = regexReplace(">", ">", result);7 |; V& r6 ^# U$ K5 O/ A
return result;
4 E% C; _  S7 H1 ^( f& w% S}
& Q  E; s! d% ?/ Q( _" g$ p注意:CSS的行为方式也会有JavaScript的执行:
: `2 {3 m- _& f4 Z. R8 k, Y  F
0 O7 V! r1 M& N% V3 X) c( u' b#content { height: expression_r(alert('test xss') ); }- `' N  X2 s* j% Q
" n9 P- I+ _, A0 b! `
如果要支持html可以使用这个过滤器(附件,开源的)
# c4 c) p2 U# B& N8 n0 z例子4 ^: q! F  w0 X" ]
{
4 B  B5 k1 Y! n3 y# D- ]+ }+ bfinal ArrayList span_atts = new ArrayList();
, i8 y3 |# Q! W( x1 r1 V! @Map allowedAttrValues = new HashMap();5 w; p6 F* a/ U* r2 p! `0 K
allowedAttrValues.put(“color”, Pattern.compile(“(#([0-9a-fA-F]{6}|[0-9a-fA-F]{3}))”));0 N0 n5 q0 h" Z0 \% Z( x- n* \
allowedAttrValues.put(“font-weight”, Pattern.compile(“bold”));
9 a# |' I: Q1 H. j; WallowedAttrValues.put(“text-align”, Pattern.compile(“(center|right|justify)”));
; c6 r0 n1 c9 w, F& Y9 LallowedAttrValues.put(“font-style”, Pattern.compile(“italic”));! i) x7 A- L/ x1 C
allowedAttrValues.put(“text-decoration”, Pattern.compile(“underline”));4 y' X0 i/ o/ g8 q7 E/ W1 B
allowedAttrValues.put(“margin-left”, Pattern.compile(“[0-9]+px”));2 k, s1 [- p' W6 J7 o7 R5 T
allowedAttrValues.put(“text-align”, Pattern.compile(“center”));
$ ^! g, q( B" M, |7 r8 m: F) lspan_atts.add(new Attribute(“style”, allowedAttrValues));# z* f; \) H* N% k+ |/ D7 ~
vAllowed.put(“span”, span_atts);
# K' H# i7 A9 d+ U, ~}1 f, s: S) }' {: Y5 T
{
0 o/ U3 }0 C2 n% z0 N, D$ O2 Yfinal ArrayList div_atts = new ArrayList();
; h7 i* l0 n4 i/ Z7 q4 xdiv_atts.add(new Attribute(“class”));
6 N2 j" N8 k, X, z- w; v$ f1 w0 gdiv_atts.add(new Attribute(“align”));! L1 T: W5 M7 ^( l
vAllowed.put(“div”, div_atts);' o0 o' X5 }8 L. P3 a0 @3 F
}, ^9 Y6 x0 [) ]) H# N3 j) O
* 2. 调用类似这样的函数String outHtml = HetaoBlogXssHTMLFilter.filter(sourceHtmlString);
) ?" |; Q" ]3 e. ^' j+ F3、针对图片的上传需要检测是否是正确的图片格式是否是伪格式,图片服务器尽量不开启程序(java,php,.net)功能或对图片格式不做程序解析;
8 J  U% L$ J$ v防御CSRF:
2 M+ V. u& p* \; W! m在Web应用程序侧防御CSRF漏洞,一般都是利用referer判断输入端的url来源、或使用token或者使用JavaScript看不见的验证码;* f; p1 j( {9 q# ^, \% b
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

Doverbaby [Lv7 精益求精] 发表于 2013-10-18 16:42:19 | 显示全部楼层
学习了,谢谢分享、、、
回复 支持 反对

使用道具 举报

枉种花 [Lv8 技术精悍] 发表于 2013-10-18 23:56:06 | 显示全部楼层
路过,学习下,感谢攻城狮论坛
回复 支持 反对

使用道具 举报

55881919 [Lv8 技术精悍] 发表于 2013-10-19 09:18:49 | 显示全部楼层
相当不错,感谢无私分享精神!
回复 支持 反对

使用道具 举报

fashion630 [Lv8 技术精悍] 发表于 2013-10-20 23:53:58 | 显示全部楼层
路过,支持一下啦
回复 支持 反对

使用道具 举报

最美回忆 [VIP@钻石] 发表于 2013-10-22 13:54:55 | 显示全部楼层
回复 支持 反对

使用道具 举报

21dev [Lv8 技术精悍] 发表于 2013-10-24 12:43:43 | 显示全部楼层
写的真的很不错
回复 支持 反对

使用道具 举报

zlm888 [Lv8 技术精悍] 发表于 2013-10-25 15:16:41 | 显示全部楼层
没看完~~~~~~ 先顶,好同志
回复 支持 反对

使用道具 举报

hongnanlin [Lv8 技术精悍] 发表于 2013-12-5 13:03:03 | 显示全部楼层
支持一下:lol
回复 支持 反对

使用道具 举报

wu100 [Lv8 技术精悍] 发表于 2013-12-5 14:45:41 | 显示全部楼层
帮你顶下哈!!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2026-7-5 14:50 , Processed in 0.113093 second(s), 15 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn