危害
1、盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號
2、控制企業(yè)數據，包括讀取、篡改、添加、刪除企業(yè)敏感數據的能力
3、盜竊企業(yè)重要的具有商業(yè)價值的資料
4、非法轉賬
5、強制發(fā)送電子郵件
6、網站掛馬
7、控制受害者機器向其它網站發(fā)起攻擊

防范
1、必須明確：一切輸入都是有害的，不要信任一切輸入的數據。
2、緩和XSS問題的首要法則是確定哪個輸入是有效的，并且拒絕所有別的無效輸入。
3、替換危險字符，如："&", "<", ">", """，"'", "/", "?"，";", ":", "%", "<SPACE>", "=", "+"。各種語言替換的程度不盡相同，但是基本上能抵御住一般的XSS攻擊。

a.ASP中的Server.HTMLEncode： <%= Server.HTMLEncode("The paragraph tag: <P>") %>
b.ASP.NET的Server.HtmlEncode及Server.UrlEncode： String TestString = "This is a <Test String>.";
String EncodedString = Server.HtmlEncode(TestString);
Server.UrlEncode(Request.Url.ToString());
4、有些網站使用過濾javascript關鍵字的辦法來防止XSS，其實是很不明智的，因為XSS有時候根本就不需要javascript關鍵字或者對javascript關鍵字進行格式變化來躲過過濾。

5、為所有的標記屬性加上雙引號。應該說這也不是萬全之策，只是在轉義了雙引號的前提下的一道安全保障。比如： 不加雙引號時，onclick被執(zhí)行了：
<a href=http://www.xxx.com/detail.asp?id=2008 onclick='javascrpt:alert('haha')'>
加上了雙引號，onclick不會被執(zhí)行：
<a href="http://www.xxx.com/detail.asp?id=2008 onclick='javascrpt:alert('haha')'">
6、將數據插入到innerText屬性中，腳本將不會被執(zhí)行。如果是innerHTML屬性，則必須確保輸入是安全的。如ASP.NET中：

最新評論