跨站腳本攻擊的危害及cookie盜竊

http://m.yibo1263.com　2009-7-3 8:23:17 　來源:東北IT網　編輯:葉子

對數(shù)據(jù)進行正確地轉義處理，以保證它們不會被解釋為HTML代碼（對瀏覽器而言）或者XML代碼（對Flash而言）。

刪除會被惡意使用的字符串或者字符

一般情況下，刪除一些字符會對用戶體驗造成影響，舉例來說，如果開發(fā)人員刪除了上撇號(’)，那么對某些人來說就會帶來不便，如姓氏中帶有撇號的人，他們的姓氏就無法正常顯示。同時，嚴禁開發(fā)人員刪除字符串，因為完全可以通過許多不同的形式來表示字符串。應用程序和瀏覽器會對字符串作出不同的解釋。例如，SAMY蠕蟲利用了IE不把換行符作為定界符字符這一事實，因此，IE看來JavaScript和jav%0dascr%0dipt是一回事。遺憾的是，MySpace把換行符解釋為字的分界符號，并允許將向Samy(及其他人)的MySpace頁面中放入下列內容：

〈 div id="mycode" expr="a_lert('1')" style="background:url('java

script:eval(document.all.mycode.expr)')"〉〈/div〉

我們建議對所有用戶提供的又被發(fā)回給Web瀏覽器的數(shù)據(jù)都進行轉義處理，包括AJAX調用、移動式應用、Web頁面、重定向等等內的數(shù)據(jù)。然而，對字符串進行轉義處理并不是我們想得那么簡單：您必須根據(jù)用戶提供的數(shù)據(jù)將被放到HTTP應答中的具體位置來決定使用URL編碼、HTML實體編碼或者JavaScript編碼進行轉義。

十、防范基于UTF-7的XSS

基于UTF-7的攻擊是很容易防范的，只要強制指定在HTTP報頭中的或者HTML響應內部的字符編碼即可。我們建議對默認HTTP報頭做如下設置：

Content-Type: text ml; charset=utf-8

還應當對全部HTML響應添加下列限制：

< meta http-equiv="Content-Type" content="text ml;charset=utf-8" >

十一、結束語

在瀏覽器中已經建立了一些安全措施——即同源策略和Cookie安全模型。此外，一些瀏覽器插件，諸如Flash Player、Outlook Express 以及Acrobat Reader等，帶來了更多的安全問題和安全措施。然而，如果攻擊者可以強迫用戶執(zhí)行源自特定域的JavaScript的話，這些額外的安全措施總是傾向于削弱同源策略的力量。

跨站點腳本攻擊（XSS）技術能夠強迫用戶執(zhí)行攻擊者以受害者名義在某個域上選擇的腳本，如JavaScript、VBScript、ActionScript，等等。XSS要求某個域上的Web應用程序能夠提供（即供應、返回）被攻擊者所控制的字符。因此，攻擊者可以向頁面注入代碼，而這些代碼將來會在這個有弱點的域的上下文中執(zhí)行。本文詳細介紹跨站腳本的危害，以及攻擊者是如何誘騙受害者的。最后介紹針對跨站腳本攻擊的防御措施。至此，讀者已經能夠對跨站腳本攻擊有一個全面深入的了解了。

本新聞共4頁,當前在第4頁 1 2 3 4

【收藏】【打印】【進入論壇】

·杜絕Cookie傳送提高網站訪問速度

·三種禁用Cookie的方法讓上網更安全

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费