您的瀏覽器不支援JavaScript語法,但是並不影響您獲取本網站的內容 網頁設計,網頁設計公司,網頁程式設計,網站程式設計,台北網頁設計,無障礙網頁設計,3d互動網頁設計, 720度環場,網站建置,主機代管,電子商務,政府機關網頁設計,公家機關網頁設計,網站製作公司,網站設計公司,網站架設
網頁設計,網頁設計公司,網頁程式設計,網站程式設計,台北網頁設計,無障礙網頁設計,3d互動網頁設計, 720度環場,網站建置,主機代管,電子商務,政府機關網頁設計,公家機關網頁設計,網站製作公司,網站設計公司,網站架設
網頁設計程式設計網站規劃虛擬主機與主機代管關於網繹我們的服務我們的客戶無障礙網頁設計網站優化SEO聯絡我們
網頁設計,網頁設計公司,網頁程式設計,網站程式設計,台北網頁設計,無障礙網頁設計,3d互動網頁設計, 720度環場,網站建置,主機代管,電子商務,政府機關網頁設計,公家機關網頁設計,網站製作公司,網站設計公司,網站架設
Logo 排版用圖片
:::回首頁網站地圖ENGLISH日本語簡體中文rss
:::
關於網繹
我們的客戶
我們的服務
無障礙網頁
SEO網站優化
資訊與知識庫
聯絡我們
無障礙網頁裝飾用圖片
無障礙網頁的專家
透過網繹將您的網站輕鬆的通過無障礙網頁檢測標準,達到轉換網頁無障礙,擴充單元無障礙,新增內容無障礙的功能。
:::
資訊與知識庫
標題 何謂XSS(Cross-site scripting)
主題分類 網路資訊
原文章出處 維基百科

跨網站指令碼(Cross-site scripting,通常簡稱為XSS)是一種網站應用程式的安全漏洞攻擊,允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端腳本語言。

當網景(Netscape)最初推出JavaScript語言時,他們也察覺到准許網頁伺服器傳送可執行的程式碼給一個瀏覽器的安全風險(即使僅是在一個瀏覽器的sandbox裡)。它所造成的一個關鍵的問題在於使用者同時開啟多個瀏覽器視窗時,在某些例子裡,網頁裡的片斷程式碼被允許從另一個網頁或物件取出資料,而因為惡意的網站可以用這個方法來嘗試竊取機密資訊,所以在某些情形,這應是完全被禁止的。為了解決這個問題,瀏覽器採用了與最初相同的決策──允許來自相同網域名稱系統和使用相同協定的物件與網頁之間的任何互動。這樣一來,惡意的網站便無法藉由JavaScript在另一個瀏覽器竊取機密資料。此後,為了保護使用者免受惡意網站的危害,其他的瀏覽器與伺服端指令語言採用了類似的存取控制決策。一般而言,跨網站指令碼的漏洞常見於網頁允許攻擊者通過這些機制的弱點。由於發現了巧妙的注入惡意的指令碼到由其他網域服務的網頁方法,攻擊者可得到了更高的特權,竊取機密的網頁內容、會談的cookie、以及許多其他的物件。

測試方法

通常有一些方式可以測試網站是否有正確處理特殊字元:
●><script>alert(document.cookie)</script>
●='><script>alert(document.cookie)</script>
●<script>alert(document.cookie)</script>
●<script>alert(vulnerable)</script>
●%3Cscript%3Ealert('XSS')%3C/script%3E
●<script>alert('XSS')</script>
●<img src="javascript:alert('XSS')">
使用者可做一個網頁,試著用JavaScript把document.cookie當成參數丟過去,然後再把它記錄下來,但XSS攻擊方法不外乎只是這個。

避免的方法

程式設計方面
避免XSS的方法主要是將使用者所提供的內容進行過濾,許多語言都有提供對HTML的過濾:

PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。

使用者方面
包括Internet Explorer、Mozilla Firefox在內的常用瀏覽器皆有關閉JavaScript的功能,但關閉未必是最好的方法,許多網站都會使用JavaScript語言。

文章整理:
關鍵字: 跨網站指令碼,Cross-site scripting,XSS,JavaScript

go to top
通過第三優先等級無障礙網頁檢測
   
網繹數位科技網頁設計公司 地址:台北市復興南路一段321號3樓 Tel: (02)2704-1758(代表號)  Fax: (02)2704-0372 Email:e-service@eki.com.tw
網頁設計程式設計網站規劃虛擬主機與主機代管關於網繹我們的服務我們的客戶無障礙網頁設計網站優化SEO聯絡我們
(a) 跨國企業 為Sony 新力、Du Pont 台灣杜邦、Syngenta 台灣先正達、Xerox 全錄、TUV 德國萊因、Imation 美商怡敏信、DHL 洋基通運、日商丸紅等跨國企業、國際大型公司網站設計、程式設計、網頁設計、資料庫規劃及系統整合之設計廠商。 (b) 知名企業 為流行風尚精品之公司網站設計、程式設計、網頁設計、諸如居禮名店、長榮桂冠酒店、三井日本料理、天仁集團、菲夢絲、歌林公司、八王子集團、牡丹園餐廳、華固建設、等製作高質感之精緻網站。 (c) 金融機構 為金融單位或公司網站設計、程式設計、網頁設計、如兆豐金控、新光產物保險、中央再保、第一期貨、慶豐銀行、KGI中信期貨、台灣銀行等諸銀行,南山人壽、金融聯合徵信中心等金融公司及單位之網站建置及資料庫設計協力廠商。 (d) 政府機關及民間機構 為政府機構及民間團體網站設計、程式設計、網頁設計、如台北世界貿易中心、台北國際會議中心、中研院、十三行博物館、黃金博物園區、鶯歌陶瓷博物館、臺北縣政府文化局、石門水庫、北區水資源局等政府機關以及法鼓山、中華電信工會、國科會、靈鷲山佛教基金會、財團法人保險事業發展中心等民間團體建置氣勢磅礡、兼具人文、藝術、歷史的網站或電子報。