• 新规:续航150公里以下新能源车取消补贴 2019-10-11
  • 法国革命时代,女人流行穿什么 2019-10-11
  • 黑龙江省县(市、区)委统战部长培训班举办 2019-10-06
  • “夏季第一瓜”竟是它! 2019-10-06
  • 《阿古顿巴》藏语版在藏语卫视首播 2019-09-06
  • 晋中市“三同步”推动互联网治理创新 2019-08-27
  • 法媒:研究称美国人常用药物或增加抑郁风险 2019-08-27
  • 宝贝是地名,你能想到这么浪漫的地名在哪儿吗? 2019-08-15
  • 何树山副省长到方圆机电调研指导工作 2019-08-15
  • 幸运赛车精准计划:什么是JavaScript注入攻击?

    来源:本网整理
    s">

    什么是JavaScript注入攻击?

    彩票双色球历史开奖结果 www.s9h6.com 作者:Suger_Code 字体:[增加 减小] 类型:转载 时间:2016-09-14 我要评论

    本文告诉大家什么是js注入,讨论防止 ASP.NET MVC 应用程序受到 JavaScript 注入攻击的两种技术,感兴趣的小伙伴们可以参考一下 ">

    Javascript可以作为黑客攻击网站的一种工具,其中注入js(javascript)恶意脚本就是其中一种手段之一,那么下面,大家来学习一下如何预防js的注入攻击呢?以下有一个不错的陈述,跟大家分享:

    什么是 JavaScript 注入攻击?
    每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站??突Э梢苑梦释静⑹淙攵圆返姆蠢⌒畔?。当客户提交反馈时,反馈信息重新显示在反馈页面上。

    客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。

    假设正在将以下文本输入到客户反馈表单中:

    <script>alert(“Boo!”)</script>

    此文本表示显示警告消息框的 JavaScript 脚本。在某人将此脚本提交到客户反馈表单后,消息 Boo! 会在将来任何人访问客户反馈网站时显示的攻击。您可能还认为别人不会通过 JavaScript 注入攻击搞破坏。

    现在,您对 JavaScript 注入攻击的第一反应也许是不理会。您可能认为 JavaScript 注入攻击不过是一种无伤大雅,不幸的是,黑客会通过在网站中注入 JavaScript 进行破坏活动。使用 JavaScript 注入攻击可以执行跨站脚本 (XSS) 攻击。在跨站脚本攻击中,可以窃取保密的用户信息并将信息发送到另一个网站。

    例如,黑客可以使用 JavaScript 注入攻击窃取来自其他用户浏览器的 Cookies 值。如果将敏感信息(如密码、信用卡帐号或社会保险号码)保存在浏览器 Cookies 中,那么黑客可以使用 JavaScript 注入攻击窃取这些信息?;蛘?,如果用户将敏感信息输入到页面的表单字段中,而页面受到 JavaScript 攻击的危害,那么黑客可以使用注入的 JavaScript 获取表单数据并将其发送到另一个网站。

    请高度重视。认真对待 JavaScript 注入攻击并?;び没У谋C苄畔?。在接下来的两部分中,我们将讨论防止 ASP.NET MVC 应用程序受到 JavaScript 注入攻击的两种技术。 

    方法 1:视图中的 HTML 编码 

    阻止 JavaScript 注入攻击的一种简单方法是重新在视图中显示数据时,用 HTML 编码任何网站用户输入的数据

    如:<%=Html.Encode(feedback.Message)%>

    使用 HTML 编码一个字符串的含意是什么呢?使用 HTML 编码字符串时,危险字符如 < 和 > 被替换为 HTML 实体,如 < 和 >。所以,当使用 HTML 编码字符串 <script>alert(“Boo!”)</script>时,它将转换为 <script>alert(“Boo!”)</script>。浏览器在解析编码的字符串时不再执行 JavaScript 脚本。而是显示无害的页面

    方法 2:写入数据库之前的 HTML 编码
    除了在视图中显示数据时使用 HTML 编码数据,还可以在将数据提交到数据库之前使用 HTML 编码数据。第二种方法正是程序清单 4 中 controller 的情况。

    如:

    public ActionResult Create(string message)
    {
    // Add feedback
    var newFeedback = new Feedback();
    newFeedback.Message = Server.HtmlEncode(message);
    newFeedback.EntryDate = DateTime.Now;
    db.Feedbacks.InsertOnSubmit(newFeedback);
    db.SubmitChanges(); 
     
    
    // Redirect
    return RedirectToAction(“Index”);
    }
    
    

    请注意,Message 的值在提交到数据库之前是在 Create() 操作中经过 HTML 编码的。当在视图中重新显示 Message 时,Message 被 HTML 编码,因而不会执行任何注入到 Message 中的 JavaScript。

    总结

    通常,人们喜欢使用本教程中讨论的第一种方法,而不喜欢使用第二种方法。第二种方法的问题在于在数据库中最终会保留 HTML 编码的数据?;谎灾?,数据库中的数据会包含奇怪的字符。这有什么坏处呢?如果需要用除网页以外的形式显示数据库数据,则将遇到问题。例如,不能轻易在 Windows Forms 应用程序中显示数据。

    以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持突袭网。

  • 本文相关:
  • jQuery实现带遮罩层效果的blockUI弹出层示例【附demo源码下载】
  • AngularJS 指令的交互详解及实例代码
  • Bootstrap精简教程中秋大放送
  • Node.js connect ECONNREFUSED错误解决办法
  • js点击按钮实现水波纹效果代码(CSS3和Canves)
  • 基于JS+Canves实现点击按钮水波纹效果
  • Bootstrap 3的box-sizing样式导致UEditor控件的图片无法正常缩放的解决方案
  • AngularJs 动态加载??楹鸵览?/a>
  • Javascript函数中的arguments.callee用法实例分析
  • Javascript中函数名.length属性用法分析(对比arguments.length)
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 彩票双色球历史开奖结果 - 频道导航
    Copyright © 2017 彩票双色球历史开奖结果 www.s9h6.com All Rights Reserved
  • 新规:续航150公里以下新能源车取消补贴 2019-10-11
  • 法国革命时代,女人流行穿什么 2019-10-11
  • 黑龙江省县(市、区)委统战部长培训班举办 2019-10-06
  • “夏季第一瓜”竟是它! 2019-10-06
  • 《阿古顿巴》藏语版在藏语卫视首播 2019-09-06
  • 晋中市“三同步”推动互联网治理创新 2019-08-27
  • 法媒:研究称美国人常用药物或增加抑郁风险 2019-08-27
  • 宝贝是地名,你能想到这么浪漫的地名在哪儿吗? 2019-08-15
  • 何树山副省长到方圆机电调研指导工作 2019-08-15
  • 天才二肖中特 pk10五码循环不死模式 飞艇免费全天计划 比利时足球排名 澳贝彩票 双色球红球属于质数的有哪些 甘肃快三基本走势图表 香港赛马路路发安卓 新疆喜乐彩开奖信息 体彩p3试机号走势图 黑彩就没有稳赚办法了吗 福彩3d组六全包稳赚 天线宝宝特码图 重庆快乐十分最快开奖 白小姐期期准开奖结果