js脚本注入
① 如何将自己写的js注入到网站网页中
首先你要确认你的是js码,只有js代码才能被调用。
将写好的js代码复制到txt文件中,另存为.js文件,保存在你的网站目录下。我保存在桌面上。(注在网页上调用一定要保存在网页上)
保存好了之后,我的桌面就有一个新建.js的介绍文件,现在看看效果吧。随便新建一个网页,在<body></body>(注我演示的没有body,是最简单的网页)之间插入<script
language="javascript"
src="js文件地址"></script>,我的是放在桌面上的,所以地址是下面的这个
保存为html文件之后,打开来看看效果吧。
如上图所示,在网页的源文件里面,显示的不是
<input
type=button
name="Submit1"
value="郭强"
size=10
class=s02
style="background-color:rgb(235,207,22)">而是这段代码转换成js后js文件所在的位置。
② 什么是JavaScript注入攻击
每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript
注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。
客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。
假设正在将以下文本输入到客户反馈表单中:
<script>alert(“Boo!”)</script>
此文本表示显示警告消息框的 JavaScript 脚本。在某人将此脚本提交到客户反馈表单后,消息 Boo! 会在将来任何人访问客户反馈网站时显示的攻击。您可能还认为别人不会通过 JavaScript 注入攻击搞破坏。
现在,您对 JavaScript 注入攻击的第一反应也许是不理会。您可能认为 JavaScript
注入攻击不过是一种无伤大雅,不幸的是,黑客会通过在网站中注入 JavaScript 进行破坏活动。使用 JavaScript
注入攻击可以执行跨站脚本 (XSS) 攻击。在跨站脚本攻击中,可以窃取保密的用户信息并将信息发送到另一个网站。
例如,黑客可以使用 JavaScript 注入攻击窃取来自其他用户浏览器的 Cookies
值。如果将敏感信息(如密码、信用卡帐号或社会保险号码)保存在浏览器 Cookies 中,那么黑客可以使用 JavaScript
注入攻击窃取这些信息。或者,如果用户将敏感信息输入到页面的表单字段中,而页面受到 JavaScript 攻击的危害,那么黑客可以使用注入的
JavaScript 获取表单数据并将其发送到另一个网站。
请高度重视。认真对待 JavaScript 注入攻击并保护用户的保密信息。在接下来的两部分中,我们将讨论防止 ASP.NET MVC 应用程序受到 JavaScript 注入攻击的两种技术。
方法 1:视图中的 HTML 编码
阻止 JavaScript 注入攻击的一种简单方法是重新在视图中显示数据时,用 HTML 编码任何网站用户输入的数据
如:<%=Html.Encode(feedback.Message)%>
使用 HTML 编码一个字符串的含意是什么呢?使用 HTML 编码字符串时,危险字符如 < 和 > 被替换为 HTML
实体,如 < 和 >。所以,当使用 HTML 编码字符串
<script>alert(“Boo!”)</script>时,它将转换为
<script>alert(“Boo!”)</script>。浏览器在解析编码的字符串时不再执行 JavaScript
脚本。而是显示无害的页面
方法 2:写入数据库之前的 HTML 编码
除了在视图中显示数据时使用 HTML 编码数据,还可以在将数据提交到数据库之前使用 HTML 编码数据。第二种方法正是程序清单 4 中 controller 的情况。
如:
public ActionResult Create(string message)
{
// Add feedback
var newFeedback = new Feedback();
newFeedback.Message = Server.HtmlEncode(message);
newFeedback.EntryDate = DateTime.Now;
db.Feedbacks.InsertOnSubmit(newFeedback);
db.SubmitChanges();
// Redirect
return RedirectToAction(“Index”);
}
请注意,Message 的值在提交到数据库之前是在 Create() 操作中经过 HTML 编码的。当在视图中重新显示 Message 时,Message 被 HTML 编码,因而不会执行任何注入到 Message 中的 JavaScript。
总结
通常,人们喜欢使用本教程中讨论的第一种方法,而不喜欢使用第二种方法。第二种方法的问题在于在数据库中最终会保留 HTML
编码的数据。换言之,数据库中的数据会包含奇怪的字符。这有什么坏处呢?如果需要用除网页以外的形式显示数据库数据,则将遇到问题。例如,不能轻易在
Windows Forms 应用程序中显示数据。
③ 如何向iframe中写入js代码让js在iframe中执行
1、首先,新建一个网页。
④ 什么是javascript注入攻击
Javascript注入攻击指的是通过在网页地址后加JavaScript代码,影响系统运作。
JavaScript注入漏洞能发生作用主要依赖两个关键的动作,一个是用户要能从界面中注入JavaScript到系统的内存或者后台存储系统中;二是系统中存在一些UI会展示用户注入的数据。
比如注入漏洞最常见的就是发生在各种类型的名字中,比如系统中的人名等等,因为名字往往会在各种系统上显示,如果在某个用户输入名字的时候注入了脚本,那么受其影响的各个系统都有发生注入漏洞的风险。
⑤ java web如何防止html,js注入
在java Web体系中,可以写自定义标签,过滤用户输入,也可以写一个filter过滤器。比如说自定义标签。
开发步骤:
1 写一个标签处理类
2在/WEB-INF/目录下,写一个*.tld文件,目的是让Web容器知道自定义标签和标签处理类的对应关系
3 在JSP页面中,通过<%@taglib%>指令引用标签库.
4 部署web应用,访问simple.jsp即可
其中,标签处理类可以这样写,转义大于号,小于号等特殊符号。
packagecn.itcast.web.jsp.tag;
importjava.io.IOException;
importjava.io.StringWriter;
importjavax.servlet.jsp.JspException;
importjavax.servlet.jsp.PageContext;
importjavax.servlet.jsp.tagext.JspFragment;
importjavax.servlet.jsp.tagext.SimpleTagSupport;
//<simple:filter>标签处理类
{
publicvoiddoTag()throwsJspException,IOException{
JspFragmentjspFragment=this.getJspBody();
StringWriterwriter=newStringWriter();
jspFragment.invoke(writer);
Stringtemp=writer.getBuffer().toString();
//结果必定是转义后的字符串
temp=filter(temp);
PageContextpageContext=(PageContext)this.getJspContext();
pageContext.getOut().write(temp);
}
publicStringfilter(Stringmessage){
if(message==null)
return(null);
charcontent[]=newchar[message.length()];
message.getChars(0,message.length(),content,0);
StringBufferresult=newStringBuffer(content.length+50);
for(inti=0;i<content.length;i++){
switch(content[i]){
case'<':
result.append("<");
break;
case'>':
result.append(">");
break;
case'&':
result.append("&");
break;
case'"':
result.append(""");
break;
default:
result.append(content[i]);
}
}
return(result.toString());
}
}
⑥ 如何利用Javascript注入来入侵网站
制它们到地址栏:
[code]javascript:alert(window.c=functiona(n,v,nv){c=document.cookie;c=c.substring(c.indexOf(n)+n.length,c.length);c=c.substring(1,((c.indexOf(";")>-1)?c.indexOf(";") :c.length));nc=unescape(c).replace(v,nv);document.cookie=n+"="+escape(nc);return unescape(document.cookie);});alert(''The cookie is: "''+document.cookie+''"'');alert(c(prompt("The name of the cookie:",""),prompt("Change this value:",""),prompt("with this:","")));[/code]
⑦ 网页文件被注入js脚本
网站有漏洞就被注入了,这个还需要问为什么?说明网站早就被人登陆过后台并且上传了木马,整个网站源码已经被人下载走了,然后在页面挂了木马
⑧ 什么是js注入
JavaScript注入就是在浏览器地址栏中输入一段js代码,用来改变页面js变量、页面标签的内容。
使用Javascript注入,用户不需要关闭或保存网页就可以改变其内容,这是在浏览器的地址栏上完成的。命令的语法如下:
javascript:alert(#command#)
⑨ js脚本注入
你说的是 防止xss脚本注入攻击吧。要么选择后端直接过滤掉这种类似的<script>alert()</script>字符串,但是这对客户而言又不太友好。我用的最直接的方法,取得这样的数据在前端显示的时候用
vara="<xmp>"+"<script>alert()</script>"+"</xmp>";
再把a加到你要展示的地方,浏览器就不会识别它成js代码去执行了。
仅做参考,按你的实际情况做选择吧
⑩ 如何向网页注入js脚本
清除缓存做不到
刷新 window.location.reload();
点赞要看该网页的设计