防範跨站點指令碼攻擊的的方法 :1
1.利用 空格 替換特殊字元 % < > ; & + - " ' ( )
2.使用@,具體而言是將以下語句
exec="insert into user(username,psw,***,department,phone,email,demo) values('"&username&"','"&psw&"','"&***&"','"&department&"','"&phone&"','"&email&"','"&@demo&"')"
conn.execute exec
替換成:
exec="insert into user(username,psw,***,department,phone,email,demo) values('@username','@psw','@***','@department','@phone','@email','@demo')"
conn.execute exec
以上來自: 指令碼之家(www.jb51.net) 詳細出處參考:
防範跨站點指令碼攻擊的辦法:2
1.設定白名單,只認為在白名單中的字元才是合法的字元,當使用者輸入的字元在白名單之外,全部過濾。如使用正規表示式過濾。
2.輸出時htmlencode。
3.asp.net中在可能潛在攻擊的頁面中開啟validate request。
4.對所有的html屬性新增雙引號,閉合屬性。
5.ie中使用 httponly cookie。
6.ie的frame中加 frame security屬性。
7.使用xssdetect做檢查, xssdetect是ms整合在vs2005中的xss檢查工具非常好用。
以上出自:
XSS跨站點指令碼攻擊解決方案
xss 跨站點指令碼攻擊解決方案 step1 在設計方案上,輸入項要盡可能檢測格式並限制長度。要有服務端檢測,不能依賴客戶端檢測。在資料庫設計上要限制字段長度 輸出頁面時需要進行html轉碼,如輸出位址內容 td convert.html cus.getaddress td public stati...
常見的ASP指令碼攻擊及防範技巧
由於asp的方便易用,越來越多的 後台程式都使用asp指令碼語言。但是,由於asp本身存在一些安全漏洞,稍不小心就會給黑客提供可乘之機。事實上,安全不僅是網管的事,程式設計人員也必須在某些安全細節上注意,養成良好的安全習慣,否則會給自己的 帶來巨大的安全隱患。目前,大多數 上的asp程式有這樣那樣的...
跨站點指令碼(xss)解析(一)反射型xss漏洞
跨站點指令碼 xss 即 cross site script,也經常存在於web程式中,它是往web頁面中插入 html語句 js語句等。如果伺服器端沒有對其進行過濾,當使用者瀏覽該網頁時,我們插入的 就會在使用者的瀏覽器中執行。當web應用程式動態地向我們展示資訊的時候,就可能存在xss漏洞。通常...