標籤:安全 事先 瀏覽器 val css bubuko 設定 ima cap
1、設定不同的樣式列表
<style> ul.a{list-style-tyrp:circle;} ul.b{list-style-type:square;} ul.c{list-style-type:upper-roman;} ul.d{list-style-type:lower-alpha;}
</style>
<body> <ul class="a"> <li>Coffe</li> <li>Tea</li></ul> <ul class="b" ><li>Cofee</li><li>Tea</li></ul> </body>
2、指令碼引擎處理
簡單的JavaScript 或者 VBScript <scritp>alert("XSS")</script>嵌入到正常的網頁當中,XSS攻擊就是將非法的JavaScript和VBScript等指令碼注入到使用者的瀏覽的網頁上執行,但是web瀏覽器的本身設定是不安全的的,只是負責處理解釋執行JavaScript等指令碼語言,不會判斷代碼本身對使用者的危害。
提交的表單資訊進行輸出處理 <form action="XSS.php" method="POST">
請輸入賬戶: <br>
<input type="text" name=name" value="" ></input>
<input tyoe="submit" value="提交" ></input><!---and so on > 然後後面的 處理頁面就是這樣寫的
<body> <? php echo $_REQUEST[name];?></body> 直接會將賬戶名字輸出到頁面中
或者利用get觸發提交到URL網頁 <script>alert("XSS")</script>
3、反射性XSS
反射性XSS跨站指令碼 Refelcted Cross -site Scriptting 非持久性 參數型跨站指令碼,主要講惡意的指令碼附加到URL地址參數中
但是反射性的XSS,一般駭客發動跨站指令碼攻擊之前會精心的布置一切,惡意的URl暴露問題,可以通過各種編碼轉換解決。或者使用十進位,十六進位, ESCAPE等編碼形式轉換迷惑客戶。
4、持久性的XSS Persistent Cross-site Scripting 即儲存型跨站指令碼 Stored Cross -site Scripting 此類CSS不需要使用者單擊 特定的URL就能執行跨站指令碼,攻擊者事先將JavaScript代碼上傳或者儲存到伺服器中,受害這瀏覽就會啟動。
XSS-HTML&javaSkcript&CSS&jQuery&ajax