学习永不停止
我们一起努力吧!

网站跨站脚本攻击漏洞修复的方法和技巧有哪些呢?

阳江鼎阳抄数设计交流群

作为站长,我们遇到一些网站程序源码漏洞是在所难免的。问题出就出在我们有没有能力去解决。如果自己的网站源码是收费程序,处理方法倒是很简单,那就是要求开发商协助解决,也就是一两句话的事情。但是事实上,我们大多数站长用的都是免费的开源程序,不可能花上几千甚至几万元购买一份收费的程序。废话就少说了,下面我们谈一谈网站出现“xss跨站脚本漏洞”应该怎么办。

我们先一下业界是怎样定义“跨站脚本攻击漏洞”的。“跨站脚本攻击漏洞”英文名称Cross Site Scripting,很多人简称的CSS或XSS就是指这种漏洞。xss跨站脚本漏洞的危害就是在网站上容易被恶意攻击者在想不到的网页中插入一段恶意代码。这段代码会在用户浏览查看网页时会被直接激活执行,从而达到恶意者的目的。通常来说,窃取用户信息比如盗取浏览器cookie是常用的手段。不过,如果你的网站是静态站点则完全不受其影响。

我们知道网站上有这种漏洞,其实也是检测工具提示的,比如360网站检测工具,就经常会提示“跨站脚本攻击漏洞”。以下几种方案不妨借鉴一下。

方案一:就是审核用户注册信息及内容时的输入输出要进行针对性的过滤,其实许多程序语言都有提供对HTML的过滤:

可以利用下面这些函数对出现xss漏洞的参数进行过滤

PHP的htmlentities()或是htmlspecialchars()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。

Node.js的node-validator。

方案二:如果是360检测工具提示的,那就直接在上面按提示使用他们开源的“跨站脚本攻击漏洞修复”就行了。(360上面有下载和使用提示,这里就不过多介绍了。不过,从本人的经验看,效果不太好!)

方案三:只能花钱请人处理了。毕竟站长并非个个是代码高手,且不说跨站脚本攻击漏洞用代码修复是比较复杂的过程,哪怕真有好的方法,有一些朋友也会在操作上遇到各种问题以至最后修复失败。所以最直接了当的方式就是请人修复。价钱一般在20~50元之间。不贵。但是要请对人,有一些人自称能修复的,其实也是私底下帮你安装一下360上面的修复工具。但不管是任何办法,最后能解决就行了。本人一向如此,各有所长,不可能全是万能人,做好网站常规维护优化及后期经营就行了,其他的就留给更专业的人士去解决。

未经允许不得转载:http://jdks100.com/风语守望_博客 » 网站跨站脚本攻击漏洞修复的方法和技巧有哪些呢?


分享到:更多 ()
关注“公众平台”:     学习交流QQ群(185619299):

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • 7 + 6 = ?

风语守望_博客,共同学习,一起成长!

网站首页联系我们
防复制