什么是JavaScript注入攻击?
Javascript可以作为黑客攻击网站的一种工具,其中注入js(javascript)恶意脚本就是其中一种手段之一,那么下面,大家来学习一下如何预防js的注入攻击呢?以下有一个不错的陈述,跟大家分享:
什么是JavaScript注入攻击?
每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受JavaScript注入攻击。让我们研究一个容易遭受JavaScript注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。
客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受JavaScript注入攻击。
假设正在将以下文本输入到客户反馈表单中:
<script>alert(“Boo!”)</script>
此文本表示显示警告消息框的JavaScript脚本。在某人将此脚本提交到客户反馈表单后,消息Boo!会在将来任何人访问客户反馈网站时显示的攻击。您可能还认为别人不会通过JavaScript注入攻击搞破坏。
现在,您对JavaScript注入攻击的第一反应也许是不理会。您可能认为JavaScript注入攻击不过是一种无伤大雅,不幸的是,黑客会通过在网站中注入JavaScript进行破坏活动。使用JavaScript注入攻击可以执行跨站脚本(XSS)攻击。在跨站脚本攻击中,可以窃取保密的用户信息并将信息发送到另一个网站。
例如,黑客可以使用JavaScript注入攻击窃取来自其他用户浏览器的Cookies值。如果将敏感信息(如密码、信用卡帐号或社会保险号码)保存在浏览器Cookies中,那么黑客可以使用JavaScript注入攻击窃取这些信息。或者,如果用户将敏感信息输入到页面的表单字段中,而页面受到JavaScript攻击的危害,那么黑客可以使用注入的JavaScript获取表单数据并将其发送到另一个网站。
请高度重视。认真对待JavaScript注入攻击并保护用户的保密信息。在接下来的两部分中,我们将讨论防止ASP.NETMVC应用程序受到JavaScript注入攻击的两种技术。
方法1:视图中的HTML编码
阻止JavaScript注入攻击的一种简单方法是重新在视图中显示数据时,用HTML编码任何网站用户输入的数据
如:<%=Html.Encode(feedback.Message)%>
使用HTML编码一个字符串的含意是什么呢?使用HTML编码字符串时,危险字符如<和>被替换为HTML实体,如<和>。所以,当使用HTML编码字符串<script>alert(“Boo!”)</script>时,它将转换为<script>alert(“Boo!”)</script>。浏览器在解析编码的字符串时不再执行JavaScript脚本。而是显示无害的页面
方法2:写入数据库之前的HTML编码
除了在视图中显示数据时使用HTML编码数据,还可以在将数据提交到数据库之前使用HTML编码数据。第二种方法正是程序清单4中controller的情况。
如:
publicActionResultCreate(stringmessage) { //Addfeedback varnewFeedback=newFeedback(); newFeedback.Message=Server.HtmlEncode(message); newFeedback.EntryDate=DateTime.Now; db.Feedbacks.InsertOnSubmit(newFeedback); db.SubmitChanges(); //Redirect returnRedirectToAction(“Index”); }
请注意,Message的值在提交到数据库之前是在Create()操作中经过HTML编码的。当在视图中重新显示Message时,Message被HTML编码,因而不会执行任何注入到Message中的JavaScript。
总结
通常,人们喜欢使用本教程中讨论的第一种方法,而不喜欢使用第二种方法。第二种方法的问题在于在数据库中最终会保留HTML编码的数据。换言之,数据库中的数据会包含奇怪的字符。这有什么坏处呢?如果需要用除网页以外的形式显示数据库数据,则将遇到问题。例如,不能轻易在WindowsForms应用程序中显示数据。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。