温柔的杀手——跨站ASP Script攻击

核心提示： 四、16进制编码的ActiveX Script 攻击要把用心不良的标签和script区分出来是一件非常困难的事，Script还可以16进制的形式把自己藏起来，温柔的杀手——跨站ASP Script攻击(5)，让我们看看下面这个E-mail范例好吗？它是以16进制的形式被发送出去的： 这几乎

四、16进制编码的ActiveX Script 攻击
　　要把用心不良的标签和script区分出来是一件非常困难的事。Script还可以16进制的形式把自己藏起来。让我们看看下面这个E-mail范例好吗？它是以16进制的形式被发送出去的：

这几乎是一封完整的邮件，里面包含了以16进制伪造的URL参数：sender=mynicesite.com。当用户点击链接时，用户的浏览器就会直接开始第一例所说的处理过程而弹出警告窗口。

第二部分：跨站Script攻击的防犯

一、如何避免服务器受到跨站Script的攻击

值得庆幸的是，防止跨站Script攻击的技术正趋于完善。目前可采取这几种方式来防止跨站Script的攻击：

1.对动态生成的页面的字符进行编码

你们首先要采用的就是对动态生成页面的字符进行编码，你必须这样做，不然黑客很有可能更改你的字符设置而轻易地通过你的防线。如果我们的网站是个英语网站，这样只要我们把字符编码设成拉丁字符ISO-8859-1就行了，具体情况如下：

＜META http-equiv="Content-Type" content="text/html;charset=ISO-8859-1"＞

2.过滤和限制所有输入的数据

这是防止跨站Script的攻击的第二种方法，在进行登录的时侯，不要让那些特殊的字符也输入进去。因此我们可在ONSUBMIT方法中加入JAVASCRIPT程序来完成这个功能。在本例中我们限制最多只能输入15个字符。这样可以阻止那些较长的script的输入。

在＜＜Knowledge Base Article QA252985＞＞这本书中微软提供了一个简短的Javascript程序来完成对输入数据的过滤。我们也根据具体情况引进了这段代码用于我们的例子中，如：