分類  >  WEB開發 >

網站中含跨站腳本攻擊漏洞,該怎麼修補

tags:    時間:2013-12-09 22:51:07
網站中含跨站腳本攻擊漏洞,該如何修補?
用360網站安全檢測,報告中給出了存在漏洞的網頁地址,但我訪問報告給出的網址后,明明就顯示「URL中含非法字元!」。是不是360網站安全檢測搞錯了?還是我遺漏了某個地方?

------解決方案--------------------
判斷 發送頁的 url 是否和當前頁的url一致

參考下
asp 的
<%
Server_v1 = Request.ServerVariables("HTTP_REFERER") '獲取發送頁
Server_v2 = Request.ServerVariables("SERVER_NAME") '獲取主機名 http://192.168.1.10/index.asp 就返回192.168.1.10 
If Mid(Server_v1,8,Len(Server_v2))<>Server_v2 Then
response.write "<script>alert(""不允許跨站提交"");history.go(-1);</script>" 
Response.end
End If
%>
------解決方案--------------------
http://hi.baidu.com/killhacker888/blog/item/7df0c2787ca7fdec0bd18755.html

參考下
------解決方案--------------------
跨站腳步攻擊 是指 用戶能夠提交 可執行的腳本,其它用戶瀏覽這條信息時,腳本會自動執行。

比如用戶發布信息中 寫 "<script>alert("做壞事啊做壞事");</script>"

然後其它用戶瀏覽含這條信息的頁面是,自動執行腳本。

防範方法就是檢查用戶提交的數據,過濾非法數據。
------解決方案--------------------
PHP code
  header("HTTP/1.1 404 Not Found"); header("Status: 404 Not Found"); $out = '<h2>Error 404 - Not Found</h2>'; die($out);            

推薦閱讀文章

Bookmark the permalink ,來源:互聯網