跨站腳本

① 跨站腳本攻擊有哪些類型

1、持久型跨站：最直接的危害類型，跨站代碼存儲在伺服器（資料庫）。

2、非持久型跨站：反射型跨站腳本漏洞，最普遍的類型。用戶訪問伺服器-跨站鏈接-返回跨站代碼。

3、DOM跨站（DOM XSS）:DOM(document object model文檔對象模型)，客戶端腳本處理邏輯導致的安全問題。

(1)跨站腳本擴展閱讀：

跨站腳本攻擊產生的原因是網站過於相信用戶的輸入，那麼解決的辦法也很直接，就是從根本上不相信用戶的任何輸入。一個安全的網站應當對任何用戶的任何輸入都要進行檢查，特別是對用戶提交到伺服器中保存的數據，更要做篩選。

這種攻擊與反射型攻擊不同的是，它會把自己的攻擊代碼保存在網站的伺服器上，這樣，任何訪問了這個頁面的用戶，都會受到這個攻擊。

② 如何讓瀏覽器允許網站運行跨站腳本

1、工具——Internet選項——高級——在「允許活動內容在計算機上運行」
2、打開Internet Explorer工具欄的Internet選項，打開安全選項，點擊自定義級別，找到」啟用XSS篩選器」，選擇禁用
3、清除IE瀏覽器的緩存,點IE上的工具——選擇下面Internet選項，點Internet刪除文件(記得勾上刪除所有離線內容)，確定後再重新打開IE瀏覽器試試,同時請確認使用的是IE6.0及以上版本。
4、網頁上清緩存,在網頁上選擇工具->Interner選項->刪除Cookies和刪除文件,確定。
5、點擊IE瀏覽器中的「工具」，選擇「internet選項」，進入「安全」頁面，點擊「自定義級別」，將安全設置設為「低」。
6、清空IE瀏覽器的cookies文件，在IE瀏覽器中設置「禁止自動腳本更新「。
腳本script是使用一種特定的描述性語言，依據一定的格式編寫的可執行文件，又稱作宏或批處理文件。腳本通常可以由應用程序臨時調用並執行。各類腳本目前被廣泛地應用於網頁設計中，腳本不僅可以減小網頁的規模和提高網頁瀏覽速度，而且可以豐富網頁的表現，如動畫、聲音等。

③ 跨站腳本攻擊的危害

為了搜集用戶信息，攻擊者通常會在有漏洞的程序中插入 javaScript、VBScript、 ActiveX或Flash以欺騙用戶（詳見下文）。一旦得手，他們可以盜取用戶帳戶，修改用戶設置，盜取/污染cookie，做虛假廣告等。每天都有大量的XSS攻擊的惡意代碼出現。 Brett Moore的下面這篇文章詳細地闡述了「拒絕服務攻擊」以及用戶僅僅閱讀一篇文章就會受到的「自動攻擊」。 1.HTML注入。所有HTML注入範例只是注入一個JavaScript彈出式的警告框：alert(1)。
2.做壞事。如果您覺得警告框還不夠刺激，當受害者點擊了一個被注入了HTML代碼的頁面鏈接時攻擊者能作的各種的惡意事情。
3.誘捕受害者。 「微博病毒」攻擊事件
回顧：
2011年6月28日晚，新浪微博出現了一次比較大的XSS攻擊事件。大量用戶自動發送諸如：「郭美美事件的一些未注意到的細節」，「建黨大業中穿幫的地方」，「讓女人心動的100句詩歌」，「3D肉團團高清普通話版種子」，「這是傳說中的神仙眷侶啊」，「驚爆!范冰冰艷照真流出了」等等微博和私信，並自動關注一位名為hellosamy的用戶。
事件的經過線索如下：
20:14，開始有大量帶V的認證用戶中招轉發蠕蟲
20:30，某網站中的病毒頁面無法訪問
20:32，新浪微博中hellosamy用戶無法訪問
21:02，新浪漏洞修補完畢 隨著AJAX（Asynchronous JavaScript and XML，非同步JavaScript和XML）技術的普遍應用，XSS的攻擊危害將被放大。使用AJAX的最大優點，就是可以不用更新整個頁面來維護數據，Web應用可以更迅速地響應用戶請求。AJAX會處理來自Web伺服器及源自第三方的豐富信息，這對XSS攻擊提供了良好的機會。AJAX應用架構會泄漏更多應用的細節，如函數和變數名稱、函數參數及返回類型、數據類型及有效范圍等。AJAX應用架構還有著較傳統架構更多的應用輸入，這就增加了可被攻擊的點。

④ 如何允許跨站點腳本運行

你提的問題有些模糊，不知道你說的跨站腳本是不是指的黑客攻擊，如果是，那你還需要再進修一下，如果不是，你最好補充一下應用場景。

⑤ XSS跨站腳本漏洞怎樣修復

對網站上的XSS跨站漏洞進行修復，對get,post,cookies進行安全效驗，對XSS跨站攻擊代碼進行攔截，或者是對網站安全防護參數進行重新設置，使他符合當時的網站環境。如果不懂如何修復網站漏洞，也可以找專業的網站安全公司來處理，國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.

⑥ IE瀏覽器阻止跨站腳本什麼原因,怎麼解決

登陸protal後，點擊查看報表，這是protal會發送轉到cognos的請求，如果使用的IE8，則這個請求會被攔截，提示「Internet Explorer 已對此頁面進行了修改，以幫助阻止跨站腳本。單擊此處，獲取詳細信息...」。這個錯誤是由於 IE8 的跨站腳本(Cross-site scripting, XSS)防護阻止了跨站發送的請求。點擊 IE8 的「工具」-「Internet 選項」，進入「安全」選項卡，打開「Internet」下方的「自定義級別」，在「安全設置」對話框中找到「啟用 XSS 篩選器」，改為「禁用」即可

⑦ 如何進行跨站腳本攻擊

你好~
XSS漏洞產生的原因：

跨站點腳本的主要原因是程序猿對用戶的信任。開發人員輕松地認為用戶永遠不會試圖執行什麼出格的事情,所以他們創建應用程序,卻沒有使用任何額外的代碼來過濾用戶輸入以阻止任何惡意活動。另一個原因是,這種攻擊有許多變體，用製造出一種行之有效的XSS過濾器是一件比較困難的事情。
但是這只是相對的，對用戶輸入數據的」編碼」和」過濾」在任何時候都是很重要的，我們必須採取一些針對性的手段對其進行防禦。

如何創造一個良好的XSS過濾器來阻止大多數XSS攻擊代碼

1 .需要重點」編碼」和」過濾」的對象
The URL
HTTP referrer objects
GET parameters from a form
POST parameters from a form
Window.location
Document.referrer
document.location
document.URL
document.URLUnencoded
cookie data
headers data
database data

防禦XSS有一個原則:
以當前的應用系統為中心，所有的進入應用系統的數據都看成是輸入數據(包括從FORM表單或者從資料庫獲取到的數據)，所有從當前應用系統流出的數據都看作是輸出(包括輸出到用戶瀏覽器或向資料庫寫入數據)
對輸入的數據進行」過濾」，對輸出數據進行」編碼」。這里的」編碼」也要注意，必須針對數據具體的上下文語境進行針對性的編碼。例如數據是輸出到HTML中的那就要進行HtmlEncode，如果數據是輸出到javascript代碼中進行拼接的，那就要進行javascriptEncode。
如果不搞清楚數據具體輸出的語境，就有可能因為HtmlParser()和javascriptParser()兩種解析引擎的執行先後問題導致看似嚴密的」編碼」形同虛設。

⑧ jquery跨站腳本漏洞是什麼意思

如果你是要根據後台返回的值,進行判斷,然後再展現最後的結果
如果是這樣可以做的,

Js代碼
{name:'ITEM_NAME',index:'ITEM_NAME',sortable:true,formatter: cus},
function cus(cellvalue, options, rowObject){
return cellvalue;
}
你可以在這個方法里隨便你怎麼弄，

⑨ 跨站腳本攻擊是什麼意思

XSS，跨站腳本攻擊，Cross-Site
Scripting，為了和前端的CSS避免重名，簡稱為XSS，是指通過技術手段，向正常用戶請求的HTML頁面中插入惡意腳本，執行。
這種攻擊主要是用於信息竊取和破壞等目的。在防範XSS上，主要就是通過對用戶輸入的數據做過濾或者或者轉義，可以使用框架提供的工具類HTML
Util，另外前端在瀏覽器展示數據的時候，要使用安全的API展示數據。比如使用inner text而不是inner HTML。