• 欢迎访问搞代码网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站!
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏搞代码吧

ASP、PHP网站如何根治XSS跨站脚本攻击?

asp 海叔叔 1个月前 (05-31) 7次浏览 已收录 0个评论

关键词
XSS 跨站脚本攻击 解决办法

摘要

近期XSS(跨站脚本攻击)极其频繁,中招者甚众,本文介绍如何从原理上根治XSS跨站脚本攻击。

近期XSS(跨站脚本攻击)极其频繁,中招者甚众,本文介绍如何从原理上根治XSS跨站脚本攻击。

XSS,即跨站脚本攻击,主要的攻击原理是在网站输入的地方提交HTML格式的脚本代码,如果网站对提交的信息不做变换处理而直接输出,则会导致恶意脚本代码在客户端浏览器上被执行。从而导致用户信息被窃取、Cookie被盗用等危险。Cookie被盗用很有可能进一步导致当前的登录状态被人冒充。

参考了一下360提供的解决方案,其中的方案一是这样写:

方案一:避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤:
可以利用下面这些函数对出现xss漏洞的参数进行过滤
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。

如在获取一个参数时,可以使用 p1=Server.HTMLEncode(Trim(Request.Form(“p1”)))的形式,来将HTML格式的所有内容(包括脚本)进行转换,这样就不存在隐患了。但如果要对所有的输入都做这样的处理,可以写一个安全获取变量值的函数,便于统一调用。

360的方案二很狗屎,可以不予理睬。

关于ASP、PHP网站如何根治XSS跨站脚本攻击,本文就介绍这么多,希望对大家有所帮助,谢谢!


喜欢 (0)
[搞代码]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址