HTML注入/如何防止页面html脚本注入及sql注入
Posted yinghualeihenmei
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HTML注入/如何防止页面html脚本注入及sql注入相关的知识,希望对你有一定的参考价值。
https://blog.csdn.net/bylfsj/article/details/101219054
https://blog.csdn.net/yiXin_Chen/article/details/122078924
HTML注入是当网页无法清理用户提供的输入或验证输出时出现的最简单,最常见的漏洞之一,从而使攻击者能够制作有效载荷并通过易受攻击的字段将恶意HTML代码注入应用程序中,以便他可以修改网页内容,甚至获取一些敏感数据。
让我们看一下这种情况,并了解如何执行此类HTML注入攻击:
考虑一个遭受HTML注入漏洞并且不验证任何特定输入的Web应用程序。因此,攻击者发现了这一点,并向其注入了带有“免费电影票”诱饵的恶意“ HTML登录表单”,以诱骗受害者提交其敏感的凭据。
现在,当受害者浏览该特定网页时,他发现可以使用那些“免费电影票”了。当他单击它时,他会看到该应用程序的登录屏幕,这只是攻击者精心制作的“ HTML表单”。因此,攻击者一输入凭据,便会通过其侦听器捕获所有凭据,从而导致受害者破坏其数据。
防止页面html脚本注入示例:
在接收到页面参数时,在进行数据添加或者修改时, 将<>符号进行转义:
/*防止脚本注入*/
String realName = staff.getRealName().trim().replace("<","<").replace(">",">");
staff.setRealName(realName);
注:防止页面html脚本注入
将 "<" 转换成 <
">" 转换成 >
双引号 转换成 "
单引号 转换成 \'
————————————————
版权声明:本文为CSDN博主「亦昕跑的码」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/yiXin_Chen/article/details/122078924
以上是关于HTML注入/如何防止页面html脚本注入及sql注入的主要内容,如果未能解决你的问题,请参考以下文章