xss漏洞修复踩坑总结

最新推荐文章于 2026-03-29 03:37:32 发布
原创 最新推荐文章于 2026-03-29 03:37:32 发布 · 3.7k 阅读 · 9
标签
#xss #前端

一、前言

最近测试发现系统某个接口有个xss漏洞,比如,保存数据入库时,会把<a>标签保存入库;然后查看列表时,会把<a>标签显示出来;

说是这个漏洞可以构建恶意链接,点击会跳转到恶意网址,让修复掉。

二、修复方法:前端修复

这个问题之前也遇到过,于是就按照之前的修复方法,让前端加一个xss.js,过滤掉不合法的标签后,再把数据传给后台。

谁知道这次不行了,测试直接抓包,用postman直接给后台发送含有<a>标签的请求,结果又存入数据库了。

如果从前端输入含有<a>标签的请求,点击保存,那样前端就会用xss.js把<a>标签过滤后发给后台,是没有问题的;

但是如果抓包,直接给后台发请求,那还是存在xss.js漏洞。(而且抓包测试过分了吧,那样好多系统岂不是都有漏洞了)

三、修复方法:后端修复(springboot项目)

为了符合要求,准备在后端Controller处增加过滤器,判断,如果请求报文中的参数含有不合法标签(<a>标签等),就过滤掉这个请求,不继续处理,返回错误信息。

结果踩了一堆坑,才好不容易弄好。

先发下修复流程:

1.先写一个全局过滤器(/*),用来让HttpServletRequest.getInputStream()获取的流可以重复读取,可以参考下面的文章:
https://blog.51cto.com/u_3664660/3212696

2

最低0.47元/天 解锁文章
跨站脚本(XSS)攻击漏洞修复技巧及网络安全
YtyVerilog的博客
09-22 884
随着互联网的普及和发展,网络安全问题变得越来越重要。跨站脚本(XSS)攻击是一种常见的网络安全漏洞,攻击者利用该漏洞在受害者的浏览器中注入恶意脚本代码,从而窃取用户敏感信息或者执行其他恶意操作。本文将介绍一些常用的XSS攻击修复技巧,帮助开发人员提升网站的安全性。跨站脚本(XSS)攻击是一种常见的网络安全漏洞,攻击者利用该漏洞在受害者的浏览器中注入恶意脚本代码,从而窃取用户敏感信息或者执行其他恶意操作。本文将介绍一些常用的XSS攻击修复技巧,帮助开发人员提升网站的安全性。
别再被XSS攻击困扰!SpringBoot+Hutool过滤器配置全解析
最新发布
weixin_30555125的博客
03-29 515
本文详细解析了如何使用SpringBoot和Hutool构建高效的XSS防护体系,通过轻量级过滤器配置和HTML净化引擎,有效防御各类XSS攻击。文章涵盖攻击原理、Hutool的净化机制、SpringBoot过滤器实现及生产环境最佳实践,帮助开发者全面提升Web应用安全性。
【奇安信安全漏洞XSS漏洞/重定向漏洞解决及产生分析!
weixin_47898697的博客
06-26 3589
解决基于DOM的XSS漏洞方法,详细讲解
springBoot:集成jsoup解决安全漏洞XSS注入攻击
拒绝熬夜啊的博客
12-07 1884
springBoot:集成jsoup解决安全漏洞XSS注入攻击
xss漏洞修复建议/方法
二狗学网安
05-10 1万+
1. html encoding 跨站点脚本漏洞最有效的解决方案是对用户受影响输出进行 HTML encoding。 应用程序应该对:直接源自用户输入的值、可能受用户影响的值、受用户影响的数据存储库值(数据库、日志、文件等)或可能具有的任何其他信息的任何输出进行编码。 在将这些值包含在发送给用户的输出中之前,应通过数据清理组件(编码器)处理此信息,该组件替换其 HTML 表示中的非字母数字字符。此操作确保每个脚本都将呈现给用户,而不是在用户的浏览器中执行。 这些信息在传输中应该执行净化:替换掉
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 6670
【Java代码审计】XSS漏洞产生原理及其修复
XSS漏洞修复方案
热门推荐
若明天不见
07-19 3万+
XSS漏洞介绍、XSS危害及相关修复方案 XSS的原理是WEB应用程序混淆了用户提交的数据和脚本的代码边界,导致浏览器把用户的输入当成了脚本代码来执行。XSS的攻击对象是浏览器一端的普通用户。
XSS漏洞
黄先生的博客
03-01 2万+
XSS是web安全中最为常见的漏洞XSS全称是Cross Site Script。XSS攻击通常指黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而控制用户浏览的一种攻击。 这里的跨站访问,可以是从正常的网站跨到黑客的服务器,也可以是黑客的服务器跨到正常的网站。 XSS漏洞经常出现在需要用户输入的地方,这些地方一旦对输入不进行处理,黑客就可以进行HTML注入,进而篡改网页。 例如:页...
XSS 安全漏洞介绍及修复方案
墨鸦的博客
06-25 9749
XSS 安全漏洞介绍及修复方案
xss漏洞修复
2401_88220102的博客
12-11 714
从上面XSS实例以及之前文章的介绍我们知道XSS漏洞的起因就是没有对用户提交的数据进行严格的过滤处理。因此在思考解决XSS漏洞的时候,我们应该重点把握如何才能更好的将用户提交的数据进行安全过滤。2。
【Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍
shaozheng0503的博客
12-27 3040
为什么会有这一系列的文章呢?因为我发现网上缺乏成系统的Java代码审计教程,大多是分散的点。对于新人来说,这样的资源可能不够友好。加上本人也在学习Java审计,希望通过记录和总结自己的学习历程,帮助到更多的人。因此有了本系列的文章。本系列面向拥有Java基本语法基础的朋友,内容涵盖审计环境介绍、SQL漏洞XSS漏洞、SSRF漏洞、RCE漏洞等原理与实际案例分析。希望这些文章能给你带来收获。Java 代码审计入门-01:审计前的准备Java 代码审计入门-02:SQL漏洞原理与实际案例介绍。
xss漏洞如何修复(非常详细),零基础入门到精通,看这一篇就够了
2302_76672693的博客
10-24 5222
xss漏洞如何修复(非常详细),零基础入门到精通,看这一篇就够了
复现XSS漏洞及分析
qq_61739597的博客
09-01 3764
跨站脚本攻击XSS(Cross Site Scripting),为区别层叠样式表(Cascading Style Sheets, CSS),所以改写为XSS
XSS跨站脚本攻击漏洞修复技巧
2401_84208172的博客
05-18 2177
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复
XSS安全漏洞的几种修复方式
markbug的博客
03-26 2万+
什么是XSS跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,跨站脚本攻击指的是恶意攻击者往Web页面里插入恶意的html,javaScript代码,当用户浏览该页之时,嵌入其中Web里面的html,javaScript代码会被执行,从而达到恶意的特殊目的,如,盗取用户Cook
XSS漏洞修复
这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议,常常调调漏洞,目标是在0和1之间找到属于自己的战斗力。
05-27 858
XSS(跨站脚本攻击)是一种常见的 Web 安全漏洞,攻击者通过向网页注入恶意脚本,利用浏览器的漏洞在用户端执行恶意操作。XSS 漏洞主要有三种类型:反射型 XSS、存储型 XSS 和 DOM 型 XSS。反射型 XSS 通过恶意链接诱使用户点击,立即执行脚本;存储型 XSS 将恶意脚本存储在服务器中,导致后续访问的用户都被攻击;DOM 型 XSS 通过修改客户端的 DOM 来执行恶意脚本。XSS 漏洞的危害包括窃取用户信息(如 Cookie)、进行钓鱼攻击、篡改页面内容以及攻击管理员。
iwebsec靶场 XSS漏洞通关笔记
web15185420056的博客
12-12 1265
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS
xss漏洞】存储型XSS漏洞修复
土豆的博客
05-03 7037
一、简单的测试 输入框输入<script>alert(document.cookie)</script> 得到结果,存在较为严重的存储型XSS漏洞 二、代码分析      2.1 输入处理代码分析 $message=escape($link, $message); $query="insert into messa...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

追逐梦想永不停

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值