|  RSS订阅  |  加入收藏

ASP防止XSS跨站脚本攻击

永远不要相信用户的输入,预防XSS跨站脚本攻击的关键是过滤掉用户输入的风险字符串。
摘要

我的ASP的程序,一直以来只注重SQL注入攻击的防御,一直认为XSS跨站没有SQL注入那么严重,直到最近被攻破了,不得已,必须的修补。如何防御XSS跨站脚本攻击,最重要的就是要过滤掉用户输入的风险字符,和SQL注入类似,只是一个针对的是数据库,一个针对的是HTML脚本。



什么是XSS跨站脚本攻击?

理解SQL攻击的话,理解XSS攻击就简单多了。SQL攻击是用户输入的危险字符未经过滤被当做sql语句执行了。而XSS攻击就是用户输入的危险字符未经过滤被当做html或者script脚本执行了。XSS攻击用于构造钓鱼页面、获取用户输入信息、挂马等违法操作。


ASP之防御XSS

1、防御代码。

代码是我在网上找来后修改的。原版应该也流传了很久了吧。具体我就直接贴图了,惯例文末附压缩包。

未标题-1.jpg

2、引入文件。

将文末压缩包中的文件解压到适当的目录。在需要进行防御的页面使用引入。注意你自己的文件路径。如果全站防御的话,建议在公共文件上进行嵌套,比如conn连接文件。


防御代码下载safe.rar


PS.这两天在恶补漫威系列电影,有点沉迷其中,各位大佬见谅!


如文章有用,给个赞助吧
  ASP    XSS    
转载请注明出处,未经许可禁止商用!
发表评论
*依据《网络安全法》规定,您需实名认证后才能评论!

广州网站建设
我现在都不做ASP的站了

西枫里人
@沈唁:不单单是实体字符那么简单

沈唁
PHP直接用函数转义实体字符吧

西枫里人
@晓庄:是的,越来越少的,连我都不怎么做ASP的站了,可想而知。

晓庄
一脸懵逼的进来了,一脸懵逼的出去了。总感觉现在市场ASP的东西好少

西枫里人
@笛声:原本昨晚要看完美队1和妇联1的,中途出了趟门,回来撸了段码,时间就不够了,只看完美队1,今天看妇联1

笛声
全程懵,漫威补习到哪了?

西枫里人
@明月登楼的博客:烦请大佬再帮我测试下看看

西枫里人
@明月登楼的博客:WP的输入主要在评论处,WP底层安全防护已经做过了,可以不用这些 一般是自己写的程序要留意这方面的安全问题

西枫里人
@里维斯社:被电影迷住了,码都没用心撸啊

明月登楼的博客
好吧,不能白注册了!每日一评必须的! 有没有PHP版的呀?

里维斯社
膜拜膜拜,大佬一边撸代码,一边看漫威,厉害厉害