实例讲解HTML安全隐患

开发 前端
最近这段时间一直在研究HTML安全和JavaScript安全的问题,这里先整理一下HTML的安全隐患。希望本文能为广大开发者提供帮助。

一.Html安全隐患

1.CSRF攻击【漏洞

之前外我写过一篇《浅谈CSRF攻击方式》,如果想详细了解CSRF原理及其防御之术,可以看一下。

这里简单距个例子说明一下:

存在CSRF漏洞Html代码:

  1. <form action="Transfer.php" method="POST"> 
  2.     <p>ToBankId: <input type="text" name="toBankId" /></p> 
  3.     <p>Money: <input type="text" name="money" /></p> 
  4.     <p><input type="submit" value="Transfer" /></p> 
  5. </form> 

以上漏洞的攻击代码:

  1. <form method="POST" action="http://www.Bank.com/Transfer.php"> 
  2. <input type="hidden" name="toBankId" value="hyddd"> 
  3. <input type="hidden" name="money" value="10000"> 
  4. </form> 
  5. <script> 
  6. document.usr_form.submit();  
  7. </script> 

如果用户在登陆www.Bank.com后,访问带有以上攻击代码的页面,该用户会在毫不知情下,给hyddd转账10000块。这就是CSRF攻击。

2.包含不同域的Js脚本【隐患】

在Html页面中,包含如:

  1. <script src="http://www.hyddd.com/hello.js"/> 

不同域的脚本文件,是一种值得慎重考虑的行为,因为你把本站点的安全和其他站点的安全绑定在一起了。黑客可以通过入侵修改www.hyddd.com的hello.js文件,达到攻击的效果。比如说:JavaScript Hijacking(关于JavaScript Hijacking可以参考《深入理解JavaScript Hijacking原理》)。

3.Html中的Hidden Field【隐患】

注意对隐藏字段的使用。比如hidden的<input>标签。

不要把敏感的信息存放在隐藏字段中,以防被别人更改替换和浏览器缓存。

4.上传文件【隐患】

请慎重对待上传文件这一功能,因为攻击者有可能借这个机会执行恶意代码,如图:

所以请小心处理上传文件功能。

以上是我搜集到的4种关于Htm的安全隐患,仅仅是和Html相关的问题,不包括,如:JSP,ASP...,资料的主要来源都是Fortify的一些文章 。

【编辑推荐】

  1. JSP XML XSLT将输出转换HTML
  2. 使用Java正则表达式匹配、替换HTML内容
  3. HTML编辑器FCKeditor使用详解
  4. DIV CSS的XHTML代码结构浅谈
  5. 自定义JSP标签由浅到深详细讲解
责任编辑:彭凡 来源: cnblogs
相关推荐

2010-03-19 16:17:15

2010-09-17 14:29:23

2012-06-25 09:18:36

2017-02-24 08:11:09

Docker数据安全容器

2016-09-29 22:09:26

2019-07-23 08:56:46

IoT物联网安全

2009-09-07 16:56:02

2014-07-03 11:01:13

mongoDB安全隐患

2011-04-01 16:35:09

SQL Server数触发器

2011-08-05 16:18:00

2014-04-14 13:19:41

初志科技电子文档

2022-01-20 10:54:23

移动手机短信验证码隐患

2014-06-26 13:38:19

2012-06-26 09:35:03

Firefox浏览器

2011-05-05 18:28:18

2013-07-31 09:29:12

NASA云安全云托管服务器

2013-02-21 10:11:58

2009-03-17 09:48:00

2023-12-25 11:55:58

2011-06-17 13:20:02

点赞
收藏

51CTO技术栈公众号