jsp基本语法及xss-labs前四关

原创 已于 2024-03-11 20:33:54 修改 · 504 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #xss #开发语言

于 2024-03-07 21:02:21 首次发布
本文介绍了JSP的基本概念,包括其作为动态Web开发技术的特性、JSP注释的两种类型、page、include和taglib指令的功能,以及如何在JSP中嵌入脚本。同时提到了XSS防护中的例子,展示了在不同安全级别下如何处理JavaScript注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

jsp基本语法

JSP指的是Java Server Pages,它是SUN公司在1996年6月发布的用于开发动态Web应用的一项技术。JSP是基于Java Servlet的Web开发技术,由于其所具有的简单易学和跨平台等的特性,使其在各种动态Web程序的设计语言中脱颖而出,它具有一套完整的语法规范,目前已经成为Web开发中的主流选择。

在传统的HTML页面文件中嵌入脚本语言JSP标签就构成了一个JSP页面文件

1.jsp注释

JSP注释有两种,一种是可以在客户端显示的注释,称为HTML注释

表示形式:  <!-- 注释内容 -->

一种是发送到服务器端,在客户端不能显示的注释,称为JSP注释

表示形式:  <%--注释内容--%>

2.jsp指令

JSP指令有3类,分别是:

page指令

include指令

taglib指令

1、  page指令称为页面指令,用来定义JSP页面的全局属性,该配置会作用于整个JSP页面。page指令用来指定所使用的脚本语言、导入指定的类及软件包等。

2、include指令是文件加载指令,用于在JSP文件中插入一个包含文本或代码的文件。它把文件插入后与原来的JSP文件合并成一个新的JSP页面。还需要注意的是,如果被插入的文件发生了变化,则包含这个文件的JSP文件需要被重新编译。

3、taglib指令用来引用标签库并设置标签库的前缀。这个指令允许JSP页面使用用户自定义的标签,它也可以为标签库命名,标签在这个库中定义。

3.jsp脚本元素

脚本元素是JSP中使用最频繁的元素,通过JSP脚本可以将Java代码嵌入到HTML页面中,所有可执行的Java代码,都可以通过JSP脚本来实现。

xss-labs前四关

level1

第一关无任何过滤直接插入js代码

name=<script>alert('XSS')</script>

level2

构造语句,闭合input标签

keyword="><script>alert("XSS")</script>

level3

可以通过js事件来进行绕过

 ' οnfοcus=javascript:alert('xss')//

level4

使用str_replace()尖括号进行了过滤,而且对单引号'做了防御,所以,我们直接模仿上一题,使用HTML事件,构造payload:

"onclick="alert(1)

bae4075
关注
[网络安全自学篇] 十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
jsp xss
jindingwang的专栏
06-05 2143
对于的用户输入搜索出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。请记住两条原则:过滤输入和转义输出。 一、什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该
jsp中防止xss攻击
lilovfly的专栏
08-04 6738
早上坐着,事不多,突然想起el表达式能不能防止xss攻击,这个问题自己没有看过,那就来百度吧,根据查询的结果看,el表达式${user.name}不能防止xss攻击,不过c:out标记可以防止xss攻击,写法如下: ,原因在于c:out 有个缺省属性escapeXML="true" ,可以对特殊标记进行转义。
xss靶场和jsp语句学习
最新发布
2301_80217595的博客
03-06 1146
XSS注入漏洞又称为"跨站脚本攻击(Cross Site Scripting)",为了不和层叠样式表(Cascading Style Sheets,CSS)混淆,所以将跨站脚本攻击缩写为XSSXSS注入攻击的原理其实和SQL注入攻击的原理很相似,攻击者将恶意的Script代码插入到网页中,当正常用户浏览该页面时,被嵌入的恶意Script代码就会被执行,从而达到恶意攻击正常用户的目的。(1)反射型XSS:攻击者输入可控数据到HTML页面中(通常是url),所以输入的数据没有被存储,只能在单次请求中生效。
jsp 端防止 xss 注入攻击
玩家六的专栏
04-19 8900
对输出到 html 上的值做过滤操作,主要可以使用如下两种方式:HtmlEncode方式:var HtmlEncode = function(str){ var hex = new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'); var preescape = str; var e
文件上传漏洞——upload-labs(1-10)
Lemon's blog
08-02 2557
言:文件上传漏洞还有很多知识要学习,这次就通过upload-labs进行学习 第一 上传有限制,只让上传JPEG或
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3618
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
xss绕过,payload全集
热门推荐
spang_33的博客
07-05 2万+
XSS总结:        xss分为三种,反射型xss,DOM型XSS及存储型XSS,不同类型的XSS的危害不同,有兴趣的可以观看一下csdn上明智讲的XSS攻击及原理。https://edu.csdn.net/course/detail/8585里面的修复原理和补丁代码讲的还是很详细的,他的课程还有利用xss获取cookie等。&lt;img src=x onerror=alert(1)&...
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1239
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JSP Struts过滤xss攻击的解决办法
01-08
JSP Struts过滤xss攻击的解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml <!-- 配置拦截器 --> <!-- 定义xss拦截器 -->
JSP安全开发XSS漏洞详解
ywb201314的专栏
03-18 4406
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 言 大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种...
JSP中使用JSTL,并且解决XSS安全问题
qq_26817225的博客
01-11 3202
普通的Java Web项目中使用JSTL来简化JSP, 以及使用&lt;c:out&gt; 标签处理Cross-Site Scripting安全问题。 1. 下载JSTL必要的jar包 官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/ 下载 jakarta-taglibs-standard-1.1...
jsp过滤非法字符输入,防止XSS跨站攻击
zhangzhifei1991的专栏
10-20 1462
一。写一个过滤器 代码如下: package com.liufeng.sys.filter; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.Filter
Java SSM框架+jsp处理存储型XSS和反射型XSS漏洞
weixin_45767372的博客
07-07 5540
存储型XSS和反射型XSS修复
JSP项目XSS攻击深度防护指南 | 从原理到实战的漏洞解决方案
Zyw907155124的博客
09-05 4381
在Web安全威胁升级的背景下,本文详解:如何为传统JSP架构注入现代安全基因?涵盖:▶ 后端分离场景的XSS防御新思路 ▶ AI代码审计工具整合方案 ▶ 符合等保2.0要求的安全配置清单 ▶ 防御效果可视化验证方案,助力项目通过安全渗透测试。
Java代码审计】XSS
大河之犬的博客
12-16 2万+
XSS 漏洞是指攻击者在网页中嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入”与“输出”参数进行键字过滤或转义处理,则很可能存在跨站脚本漏洞。从 Web 应用上来看,攻击者可以控制的参数包括 URL 参数、post 提交的表单数据以及搜索框提交的搜索键字,一般对该漏洞的审计策略如下收集输入、输出点查看输入、输出点的上下文环境。判断 Web 应用是否对输入、输出做了防御工作(如过滤、扰乱以及编码)
JSP过滤器防止Xss漏洞
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
XSS-Labs靶场20全攻略:无限制payload实战
XSS-Labs靶场全通指南 XSS-Labs是一个针对Web安全,特别是跨站脚本攻击(Cross-Site Scripting, XSS)的学习平台,它提供了一系列挑战性的实战练习,帮助学习者理解并掌握防御XSS攻击的方法。这个靶场位于GitHub...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值