如何防止跨站点脚本安全问题

文章编号: 252985 - 查看本文应用于的产品
机器翻译查看机器翻译免责声明
注意
本文适用于 Windows 2000。Windows 2000 支持的结束,到 2010 7 月 13Windows 2000 End-of-Support Solution Center
(http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000)
是进行规划迁移策略从 Windows 2000 的起始位置。有关详细信息,请参阅 Microsoft Support Lifecycle Policy
(http://support.microsoft.com/lifecycle/)
展开全部 | 关闭全部

本页

概要

如果不可以出方式上或在方法上验证输入的是动态生成的 HTML 页会带来安全风险。输入提交到 Web 页并显示为来自受信任来源的浏览器中,可以将嵌入恶意脚本。此问题被称为跨站点脚本安全问题。本文讨论了跨站点脚本安全问题,后果和预防措施。
回到顶端 | 提供反馈

更多信息

问题

潜在的问题是许多 Web 页显示为未验证的输入。如果不验证输入,可以将输入中嵌入恶意脚本。如果服务器端脚本然后显示此未经验证的输入,脚本将运行在浏览器上,就好像在受信任的站点生成它。

后果

如果不验证输入到您的动态网页,您可能会遇到以下问题:
  • 可以会受到危害数据完整性。
  • 可以设置和读取 cookie。
  • 用户输入可能会被截取。
  • 由客户端在受信任源的上下文中,可以执行恶意脚本。
风险是哪些网页?实质上是,问题会影响动态页创建基于未被验证的输入。典型的示例包括以下类型的网页:
  • 搜索引擎返回结果页的基于用户输入。
  • 在数据库、 cookie,等存储用户帐户和更高版本写出到客户端的用户名称的登录页。
  • 处理信用卡信息的 web 窗体。

预防措施

此部分提供了几个方法来防止跨站点脚本安全攻击。评估以确定哪些方法最适合您根据特定情况。值得注意在所有的技术中您要验证您收到来自输入和脚本不受信任的数据。实质上是,预防意味着您在通过运行您的输入到您的例程的稳定检查按照好的编码做法。

下面的列表概述了为了防止跨站点脚本攻击常规的方法:
  • 基于输入参数的输出进行编码。
  • 筛选特殊字符的输入的的参数。
  • 基于对特殊字符的输入参数的筛选器输出。
当筛选或进行编码时,您必须指定 Web 页以确保您的筛选器正在检查适当的特殊字符的字符集。将插入到您的 Web 页的数据应筛选出被视为特殊基于特定的字符集的字节序列。受欢迎的字符集是 ISO 8859-1,这是默认值的 HTML 和 HTTP 早期版本中。当您更改这些参数时,您必须考虑到帐户本地化问题。

基于对特殊字符的输入参数的输出进行编码

对编写为 HTML 时接收作为输入的数据进行编码。这种技术很有效无效由于某种原因期间输入的数据。通过技术 (如 URLEncodeHTMLEncode 您可以阻止执行恶意脚本。

下面的代码段演示如何使用从活动服务器页面 (ASP) 页的 URLEncodeHTMLEncode
<%
      var BaseURL = http://www.mysite.com/search2.asp?searchagain=;
      Response.write("<a href=\"" + BaseUrl +
      Server.URLEncode(Request.QueryString("SearchString")) +
      "\">click-me</a>");
%>
<% Response.Write("Hello visitor <I>" +
      Server.HTMLEncode(Request.Form("UserName")) +
      "</I>");
%>
如果对您进行编码的 HTML 和 url,您可能需要指定代码页,就像如果您要筛选数据。

它请注意在字符串上调用 HTMLEncode 是有关要显示将会阻止在其中执行的任何脚本,这一点很重要,因此可以防止此问题。

筛选器特殊字符的输入的的参数

筛选输入的工作原理是从您的输入中删除某些或所有特殊字符。特殊字符是启用脚本生成的 HTML 流中的字符。特殊字符包括以下: 
< > " ' % ; ) ( & + -
您个人的具体情况可能需要额外的字符或超出了特殊字符的字符串的筛选的笔记。

虽然筛选可以是一个有效的技术,但是有几个需要注意的事项:
  • 筛选不可能适用于某些输入。例如对于在其中您正在从 HTML 窗体接收 <text>输入的方案中您可以转而选择一个方法 (如编码 (如下所示)。
  • 某些字符已经过筛选实际上可能是服务器端脚本所需的输入。
下面的示例过滤器 JavaScript 中写入演示如何删除特殊字符: 
function RemoveBad(strTemp) { 
    strTemp = strTemp.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,""); 
    return strTemp;
}
以下代码之前将其存储供以后使用处理用户输入。 
<% Session("StoredPreference") = RemoveBad(Request.Cookies("UserColor"));
         var TempStr = RemoveBad(Request.QueryString("UserName"));

基于对特殊字符的输入参数的筛选器输出

这种技术是类似于筛选输入,不同之处在于您筛选写出到客户端的字符。尽管这可以是一个有效的技术,它可能写出 HTML 元素的网页的显示问题。

例如对于某个页面写出 <TABLE>元素上删除特殊字符的泛型函数将去除该 < 和 > 破坏 <TABLE>标记的字符。因此,为了才能使用此技术则只筛选传入的数据或以前由用户输入并存储在数据库中的数据。

可能的恶意数据源

该问题将应用于动态生成 HTML 使用输入的任何网页中,而以下是一些可能的恶意的数据,以帮助您专色复选的潜在安全风险来源:
  • 查询字符串
  • cookie
  • 已发送的数据
  • url 和如 PATH_INFO 的 url 的部分
  • 从用户检索数据,如在数据库中的某种方式中保持不变

结束时

总之,以下是有关跨站点脚本安全问题请记住的要点:
  • 该问题会影响动态页创建基于未被验证的输入。
  • 可以有遗漏稳定检查对输入数据的意外的安全含义。问题在于可以预防通过良好的开发标准 (如输入验证。
  • 您需要在评估解决方案在每个站点,页,和即使字段为基础,并使用一种有意义的技术。
回到顶端 | 提供反馈

参考

有关详细的信息,请参阅以下公告从该计算机紧急响应小组 (CERT) 卡耐基-梅隆大学:
http://www.cert.org/advisories/CA-2000-02.html
(http://www.cert.org/advisories/CA-2000-02.html)
有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
253117
(http://support.microsoft.com/kb/253117/ )
防止 Internet Explorer 和 Outlook Express 跨站点脚本安全问题
253119
(http://support.microsoft.com/kb/253119/ )
如何查看 ASP 代码 CSSI 漏洞
253120
(http://support.microsoft.com/kb/253120/ )
如何查看 Visual InterDev 生成 CSSI 漏洞的代码
253121
(http://support.microsoft.com/kb/253121/ )
如何检查针对 CSSI 漏洞的 MTS/ASP 代码
回到顶端 | 提供反馈

属性

文章编号: 252985 - 最后修改: 2006年3月1日 - 修订: 3.6
这篇文章中的信息适用于:
  • Microsoft Active Server Pages 2.0
  • Microsoft Active Server Pages 3.0
  • Microsoft Windows 2000 Server
关键字:?
kbmt kbcodesnippet kbcssi kbhowto kbsecurity KB252985 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 252985
(http://support.microsoft.com/kb/252985/en-us/ )
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端