该如何修复 请高手指点一下", "upDate": "2021-05-28T19:31:12+08:00" }

跨站脚本攻击漏洞 该如何修复 请高手指点一下

阿贝儿儿 2015-01-22 04:01:55
漏洞名称: 跨站脚本攻击漏洞
漏洞类型: 跨站脚本攻击(XSS)
所属服务器类型: 通用
漏洞风险: 1. 存在 "网站用户资料泄露" 风险

2. 安全性降低40%

3. 全国 32% 网站有此漏洞, 668个站长进行了讨论

检测时间: 2015-01-22 10:44:45

漏洞证据: <script>alert(42873)</script>
...全文
6649 18 打赏 收藏 转发到动态 举报
写回复
用AI写文章
18 条回复
切换为时间正序
请发表友善的回复…
发表回复
  • 打赏
  • 举报
回复
对<script>alert(1)</script> 的<进行实体编码
阿贝儿儿 2018-08-24
  • 打赏
  • 举报
回复
网站被检测出Cookie没有HttpOnly标志

我网站用ASP 在首页中加入了 Response.AddHeader "Set-Cookie", "mycookie=yo; HttpOnly" 这个代码 代码前后加<%%>但是还是检测出 Cookie没有HttpOnly标志,请高手指点一下是什么原因


  • 打赏
  • 举报
回复
<script>alert(1);</script>
df-Eric 2017-05-18
  • 打赏
  • 举报
回复
<script>alert(9)</script>
yaoyinan6946 2017-05-10
  • 打赏
  • 举报
回复
<script>alert(1)</script>
yaoyinan6946 2017-05-10
  • 打赏
  • 举报
回复
</textarea><script>alert(1)</script>
+鼬神+ 2016-10-20
  • 打赏
  • 举报
回复
<script>alert('xss')</script>
阿贝儿儿 2015-01-27
  • 打赏
  • 举报
回复
<% strng = "qwe$%sdf" %> <% Function RegExpTest(patrn, strng) Dim regEx Set regEx = New RegExp regEx.Pattern = "[a-zA-Z0-9]" regEx.IgnoreCase = true End Function If regEx.Test(strng) Then response.write("<script>alert('有非法字符!');location.href='11.asp';</script>") Else response.write("<script>alert('没有非法字符!');location.href='21.asp';</script>") End If %> 这段代码测试出现Microsoft VBScript ����ʱ���� ���� '800a01a8' 错误代码,请高手找一下错在什么地方了
阿贝儿儿 2015-01-26
  • 打赏
  • 举报
回复
<% If Instr(request("username"),"=")>0 or   Instr(request("username"),"%")>0 or   Instr(request("username"),chr(32))>0 or   Instr(request("username"),"?")>0 or   Instr(request("username"),"&")>0 or   Instr(request("username"),";")>0 or   Instr(request("username"),",")>0 or   Instr(request("username"),"'")>0 or   Instr(request("username"),"?")>0 or   Instr(request("username"),chr(34))>0 or   Instr(request("username"),chr(9))>0 or   Instr(request("username")," ")>0 or   Instr(request("username"),"$")>0 or   Instr(request("username"),">")>0 or   Instr(request("username"),"<")>0 or   Instr(request("username"),"""")>0 then   response.write "朋友,你的提交用户名含有非法字符,请更改,谢谢合作 返回"   response.end   end if %>请教高手这个测试为什么会出现Microsoft VBScript 编译器错误 错误 '800a0408' 无效字符
阿贝儿儿 2015-01-26
  • 打赏
  • 举报
回复
不明白这个到底是什么回事啊 当输入数据库时把< > 转换成< > 但是如果数据库中有的字段里是我自己输入的< >在显示在网页的时候还是需要< > 转换成< > 再这同时不是也把漏洞攻击的< > 转换成< >吗 弄来弄去还不是浪费力气吗
Dogfish 2015-01-26
  • 打赏
  • 举报
回复
转换一下那个大于小于号。
阿贝儿儿 2015-01-24
  • 打赏
  • 举报
回复
在公用文件中已经加了360_safe3.asp 在网页中把所有<%=rs("a")%>都修改成<%=Server.HtmlEncode(rs("a"))%>了 但是测试后还是显示[高危]跨站脚本攻击漏洞,请教高手这是什么原因
阿贝儿儿 2015-01-23
  • 打赏
  • 举报
回复
不明白上面说的是什么意思啊,说问题能不能说的明白点,好像都是说了半句话 是不是这样啊 为了防止跨站脚本攻击漏洞 1.当要把输入存入数据库时 ,本来是 <% a = Request.form("a") %> 要修改成 <% a = Server.HtmlEncode(Request.form("a")) %> 2.当要从数据库里读取数据时 本来是 <%= rs("a")%> 要修改成 <%= Server.Htmldecode(rs("a"))%>
Go 旅城通票 2015-01-23
  • 打赏
  • 举报
回复
<>替换为对应的实体就行,1#的代码可以的。。你没用对吧
slwsss 2015-01-23
  • 打赏
  • 举报
回复
1.当要把输入存入数据库时 ,本来是 <% a = Request.form("a") %> 2.当要从数据库里读取数据时 <%= Server.HtmlEncode(rs("a"))%>
阿贝儿儿 2015-01-22
  • 打赏
  • 举报
回复
测试了 好像不起作用啊
三楼の郎 2015-01-22
  • 打赏
  • 举报
回复
server.htmlencode 例如: <% response.write(server.htmlencode("<script>alert(42873)</script> ")) %>

28,390

社区成员

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧