理论教育 最新黑客攻防:预防跨站漏洞

最新黑客攻防:预防跨站漏洞

时间:2023-11-24 理论教育 版权反馈
【摘要】:dvHTMLEncode()函数是从ubbcode中提取的用于处理特殊字符串的函数。dvHTMLEncode()函数的完整代码如下:这个函数的语法很简单,就是使用replace()函数替换字符串中的一些特殊字符,如果需要过滤其他特殊字符,可以试着自己添加上去。用dvHTMLEncode()函数把所有输入及输出的字符串都过滤处理一遍,即可杜绝大部分跨站漏洞的出现。

最新黑客攻防:预防跨站漏洞

dvHTMLEncode()函数是从ubbcode中提取的用于处理特殊字符串的函数。它能把一些特殊(如尖括号之类)的字符替换成HTML特殊字符集中的字符。

HTML语言是标签语言,所有的代码都是用标签括起才有用,而所有标签用尖括号括起来。若尖括号不能发挥原来的作用,攻击者插入的代码便失去作用。

dvHTMLEncode()函数的完整代码如下:

这个函数的语法很简单,就是使用replace()函数替换字符串中的一些特殊字符,如果需要过滤其他特殊字符,可以试着自己添加上去。用dvHTMLEncode()函数把所有输入及输出的字符串都过滤处理一遍,即可杜绝大部分跨站漏洞的出现。如简单留言本的漏洞是因为name中的body没有经过过滤而直接输出到页面形成的,代码如下:

如果把代码修改成下面这样,就可以避免跨站漏洞的出现了。

用dvHTMLEncode()函数过滤后输出,问题即得到解决。也可以在用户提交时过滤,然后写到数据库中,在其他地方也可以用这个函数过滤,只要过滤得彻底,就不用那么担心有跨站漏洞出现。当然,用户也不能被动地期望网站的管理员去修补漏洞。万一网被挂了木马,而用户访问了这个网页中的木马,最终吃亏的还是用户。(www.daowen.com)

这里建议用户关闭IE解析JavaScript的功能。具体的操作步骤如下。

STEP01:打开IE浏览器

STEP02:自定义安全级别

STEP03:安全设置

另外,尽量不要访问安全性不高的网站,上网时打开杀毒软件的脚本监控功能,这样可以降低被恶意攻击者利用跨站脚本漏洞攻击的可能性。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈