什么是JavaScript注入攻击?


Posted in Javascript onSeptember 14, 2016

Javascript可以作为黑客攻击网站的一种工具,其中注入js(javascript)恶意脚本就是其中一种手段之一,那么下面,大家来学习一下如何预防js的注入攻击呢?以下有一个不错的陈述,跟大家分享:

什么是 JavaScript 注入攻击?
每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。

客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。

假设正在将以下文本输入到客户反馈表单中:

<script>alert(“Boo!”)</script>

此文本表示显示警告消息框的 JavaScript 脚本。在某人将此脚本提交到客户反馈表单后,消息 Boo! 会在将来任何人访问客户反馈网站时显示的攻击。您可能还认为别人不会通过 JavaScript 注入攻击搞破坏。

现在,您对 JavaScript 注入攻击的第一反应也许是不理会。您可能认为 JavaScript 注入攻击不过是一种无伤大雅,不幸的是,黑客会通过在网站中注入 JavaScript 进行破坏活动。使用 JavaScript 注入攻击可以执行跨站脚本 (XSS) 攻击。在跨站脚本攻击中,可以窃取保密的用户信息并将信息发送到另一个网站。

例如,黑客可以使用 JavaScript 注入攻击窃取来自其他用户浏览器的 Cookies 值。如果将敏感信息(如密码、信用卡帐号或社会保险号码)保存在浏览器 Cookies 中,那么黑客可以使用 JavaScript 注入攻击窃取这些信息。或者,如果用户将敏感信息输入到页面的表单字段中,而页面受到 JavaScript 攻击的危害,那么黑客可以使用注入的 JavaScript 获取表单数据并将其发送到另一个网站。

请高度重视。认真对待 JavaScript 注入攻击并保护用户的保密信息。在接下来的两部分中,我们将讨论防止 ASP.NET MVC 应用程序受到 JavaScript 注入攻击的两种技术。 

方法 1:视图中的 HTML 编码 

阻止 JavaScript 注入攻击的一种简单方法是重新在视图中显示数据时,用 HTML 编码任何网站用户输入的数据

如:<%=Html.Encode(feedback.Message)%>

使用 HTML 编码一个字符串的含意是什么呢?使用 HTML 编码字符串时,危险字符如 < 和 > 被替换为 HTML 实体,如 < 和 >。所以,当使用 HTML 编码字符串 <script>alert(“Boo!”)</script>时,它将转换为 <script>alert(“Boo!”)</script>。浏览器在解析编码的字符串时不再执行 JavaScript 脚本。而是显示无害的页面

方法 2:写入数据库之前的 HTML 编码
除了在视图中显示数据时使用 HTML 编码数据,还可以在将数据提交到数据库之前使用 HTML 编码数据。第二种方法正是程序清单 4 中 controller 的情况。

如:

public ActionResult Create(string message)
{
// Add feedback
var newFeedback = new Feedback();
newFeedback.Message = Server.HtmlEncode(message);
newFeedback.EntryDate = DateTime.Now;
db.Feedbacks.InsertOnSubmit(newFeedback);
db.SubmitChanges(); 
 

// Redirect
return RedirectToAction(“Index”);
}

请注意,Message 的值在提交到数据库之前是在 Create() 操作中经过 HTML 编码的。当在视图中重新显示 Message 时,Message 被 HTML 编码,因而不会执行任何注入到 Message 中的 JavaScript。

总结

通常,人们喜欢使用本教程中讨论的第一种方法,而不喜欢使用第二种方法。第二种方法的问题在于在数据库中最终会保留 HTML 编码的数据。换言之,数据库中的数据会包含奇怪的字符。这有什么坏处呢?如果需要用除网页以外的形式显示数据库数据,则将遇到问题。例如,不能轻易在 Windows Forms 应用程序中显示数据。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
jQuery 学习 几种常用方法
Jun 11 Javascript
Prototype 学习 工具函数学习($A方法)
Jul 12 Javascript
不同Jquery版本引发的问题解决
Oct 14 Javascript
jquery ajax 简单范例(界面+后台)
Nov 19 Javascript
js使用split函数按照多个字符对字符串进行分割的方法
Mar 20 Javascript
介绍JavaScript的一个微型模版
Jun 24 Javascript
js漂浮广告实现代码
Aug 15 Javascript
jQuery在线选座位插件seat-charts特效代码分享
Aug 27 Javascript
jquery easyui validatebox remote的使用详解
Nov 09 Javascript
Angular模板表单校验方法详解
Aug 11 Javascript
深入理解JavaScript 中的匿名函数((function() {})();)与变量的作用域
Aug 28 Javascript
浅谈JSON5解决了JSON的两大痛点
Dec 14 Javascript
jQuery实现可拖拽的许愿墙效果【附demo源码下载】
Sep 14 #Javascript
再谈javascript注入 黑客必备!
Sep 14 #Javascript
AngularJS 表达式详解及实例代码
Sep 14 #Javascript
Knockout结合Bootstrap创建动态UI实现产品列表管理
Sep 14 #Javascript
js注入 黑客之路必备!
Sep 14 #Javascript
AngularJS 模块化详解及实例代码
Sep 14 #Javascript
AngularJS 过滤与排序详解及实例代码
Sep 14 #Javascript
You might like
模仿OSO的论坛(四)
2006/10/09 PHP
PHP模块memcached使用指南
2014/12/08 PHP
php+Mysqli利用事务处理转账问题实例
2015/02/11 PHP
JavaScript获得选中文本内容的方法
2008/12/02 Javascript
js实现点击注册按钮开始读秒倒计时的小例子
2013/05/11 Javascript
复制js对象方法(详解)
2013/07/08 Javascript
JavaScript 模拟类机制及私有变量的方法及思路
2013/07/10 Javascript
extJS中常用的4种Ajax异步提交方式
2014/03/07 Javascript
JQuery实现鼠标移动图片显示描述层的方法
2015/06/25 Javascript
C#中使用迭代器处理等待任务
2015/07/13 Javascript
Bootstrap每天必学之基础排版
2015/11/20 Javascript
深入掌握 react的 setState的工作机制
2017/09/27 Javascript
详解vue-cli之webpack3构建全面提速优化
2017/12/25 Javascript
微信小程序版本自动更新的方法
2019/06/14 Javascript
微信头像地址失效踩坑记附带解决方案
2019/09/23 Javascript
ElementUI之Message功能拓展详解
2019/10/18 Javascript
[00:39]DOTA2上海特级锦标赛 Liquid战队宣传片
2016/03/04 DOTA
[51:26]VP vs VG 2018国际邀请赛小组赛BO2 第二场 8.19
2018/08/21 DOTA
浅谈Python对内存的使用(深浅拷贝)
2018/01/17 Python
pandas series序列转化为星期几的实例
2018/04/11 Python
python爬取指定微信公众号文章
2018/12/20 Python
简单了解python中的与或非运算
2019/09/18 Python
美国蔬菜和植物种子公司:Burpee
2017/02/01 全球购物
Forever 21美国官网:美国标志性快时尚品牌
2017/02/20 全球购物
Strawberrynet草莓网新加坡站:护肤、彩妆、香水及美发产品
2018/08/31 全球购物
优瑞自动咖啡机官网:Jura
2018/09/29 全球购物
苏格兰在线威士忌商店:The Whisky Barrel
2019/05/07 全球购物
村委会主任先进事迹
2014/01/15 职场文书
班子四风对照检查材料思想汇报
2014/09/29 职场文书
群众路线查摆问题整改措施
2014/10/10 职场文书
大学生安全教育主题班会
2015/08/12 职场文书
自愿离婚协议书范本2016
2016/03/18 职场文书
通知怎么写?
2019/04/17 职场文书
导游词之山西祁县乔家大院
2019/10/14 职场文书
mysql分表之后如何平滑上线详解
2021/11/01 MySQL
VS2019连接MySQL数据库的过程及常见问题总结
2021/11/27 MySQL