HTML注入/如何防止页面html脚本注入及sql注入

Posted yinghualeihenmei

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HTML注入/如何防止页面html脚本注入及sql注入相关的知识,希望对你有一定的参考价值。

https://blog.csdn.net/bylfsj/article/details/101219054

https://blog.csdn.net/yiXin_Chen/article/details/122078924

HTML注入是当网页无法清理用户提供的输入或验证输出时出现的最简单,最常见的漏洞之一,从而使攻击者能够制作有效载荷并通过易受攻击的字段将恶意HTML代码注入应用程序中,以便他可以修改网页内容,甚至获取一些敏感数据。

让我们看一下这种情况,并了解如何执行此类HTML注入攻击:

考虑一个遭受HTML注入漏洞并且不验证任何特定输入的Web应用程序。因此,攻击者发现了这一点,并向其注入了带有“免费电影票”诱饵的恶意“ HTML登录表单”,以诱骗受害者提交其敏感的凭据。

现在,当受害者浏览该特定网页时,他发现可以使用那些“免费电影票”了。当他单击它时,他会看到该应用程序的登录屏幕,这只是攻击者精心制作的“ HTML表单”。因此,攻击者一输入凭据,便会通过其侦听器捕获所有凭据,从而导致受害者破坏其数据。

 

防止页面html脚本注入示例:

在接收到页面参数时,在进行数据添加或者修改时, 将<>符号进行转义:

/*防止脚本注入*/
String realName = staff.getRealName().trim().replace("<","&lt;").replace(">","&gt;");
staff.setRealName(realName);

注:防止页面html脚本注入

将 "<" 转换成 <

">" 转换成 >

双引号 转换成 "

单引号 转换成 \'

 

————————————————
版权声明:本文为CSDN博主「亦昕跑的码」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/yiXin_Chen/article/details/122078924

以上是关于HTML注入/如何防止页面html脚本注入及sql注入的主要内容,如果未能解决你的问题,请参考以下文章

java web如何防止html,js注入

防止 Javascript 中的 HTML 和脚本注入

XSS过滤JAVA过滤器filter 防止常见SQL注入

如何防范SQL注入漏洞及检测

MySQL 及 SQL 注入

php中防止SQL注入,该如何解决?