网站中含跨站脚本攻击漏洞,该如何修补?
用360网站安全检测,报告中给出了存在漏洞的网页地址,但我访问报告给出的网址后,明明就显示“URL中含非法字符!”。是不是360网站安全检测搞错了?还是我遗漏了某个地方?
[解决办法]
判断 发送页的 url 是否和当前页的url一致
参考下
asp 的
<%
Server_v1 = Request.ServerVariables("HTTP_REFERER") '获取发送页
Server_v2 = Request.ServerVariables("SERVER_NAME") '获取主机名 http://192.168.1.10/index.asp 就返回192.168.1.10
If Mid(Server_v1,8,Len(Server_v2))<>Server_v2 Then
response.write "<script>alert(""不允许跨站提交"");history.go(-1);</script>"
Response.end
End If
%>
[解决办法]
http://hi.baidu.com/killhacker888/blog/item/7df0c2787ca7fdec0bd18755.html
参考下
[解决办法]
跨站脚步攻击 是指 用户能够提交 可执行的脚本,其它用户浏览这条信息时,脚本会自动执行。
比如用户发布信息中 写 "<script>alert("做坏事啊做坏事");</script>"
然后其它用户浏览含这条信息的页面是,自动执行脚本。
防范方法就是检查用户提交的数据,过滤非法数据。
[解决办法]
header("HTTP/1.1 404 Not Found");header("Status: 404 Not Found");$out = '<h2>Error 404 - Not Found</h2>';die($out);