ASP、PHP网站如何根治XSS跨站脚本攻击?


关键词

XSS 跨站脚本攻击 解决办法

摘要

近期XSS(跨站脚本攻击)极其频繁,中招者甚众,本文介绍如何从原理上根治XSS跨站脚本攻击。


近期XSS(跨站脚本攻击)极其频繁,中招者甚众,本文介绍如何从原理上根治XSS跨站脚本攻击。

XSS,即跨站脚本攻击,主要的攻击原理是在网站输入的地方提交HTML格式的脚本代码,如果网站对提交的信息不做变换处理而直接输出,则会导致恶意脚本代码在客户端浏览器上被执行。从而导致用户信息被窃取、Cookie被盗用等危险。Cookie被盗用很有可能进一步导致当前的登录状态被人冒充。

参考了一下360提供的解决方案,其中的方案一是这样写:

方案一:避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤,许多语言都有提供对HTML的过滤:
可以利用下面这些函数对出现xss漏洞的参数进行过滤
PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。

如在获取一个参数时,可以使用 p1=Server.HTMLEncode(Trim(Request.Form("p1")))的形式,来将HTML格式的所有内容(包括脚本)进行转换,这样就不存在隐患了。但如果要对所有的输入都做这样的处理,可以写一个安全获取变量值的函数,便于统一调用。

360的方案二很狗屎,可以不予理睬。

关于ASP、PHP网站如何根治XSS跨站脚本攻击,本文就介绍这么多,希望对大家有所帮助,谢谢!

 

要饭二维码

洪哥写文章很苦逼,如果本文对您略有帮助,可以扫描下方二维码支持洪哥!金额随意,先行谢过!大家的支持是我前进的动力!

文章的版权

本文属于“洪哥笔记”原创文章,转载请注明来源地址:ASP、PHP网站如何根治XSS跨站脚本攻击?:http://www.splaybow.com/post/asp-php-xss.html

如果您在服务器运维、网络管理、网站或系统开发过程有需要提供收费服务,请加QQ:115085382!十年运维经验,帮您省钱、让您放心!
亲,如果有需要,先存起来,方便以后再看啊!加入收藏夹的话,按Ctrl+D

« ASP生成两个数字之间的随机数字 asp now()时间格式问题 »

相关文章: