Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để ngăn chặn vấn đề an ninh cross-site scripting

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:252985
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp kết thúc hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Tạo động các trang HTML có thể giới thiệu rủi ro bảo mật Nếu đầu vàokhông xác nhận hoặc là trên đường vào hoặc trên đường ra. Kịch bản độc hại có thể được nhúng trong đầu vào đó được gửi đến các trang Web và xuất hiện đểcác trình duyệt như có nguồn gốc từ một nguồn đáng tin cậy. Vấn đề này được gọi là một cross-site scripting vấn đề an ninh. Bài viết này thảo luận về vấn đề an ninh cross-site scripting, chi nhánh và công tác phòng chống.
THÔNG TIN THÊM

Vấn đề

Vấn đề cơ bản là rất nhiều các trang Web hiển thị đầu vào mà không xác nhận. Nếu đầu vào không được xác nhận, kịch bản độc hại có thể được nhúng trong các đầu vào. Nếu một kịch bản phía máy chủ sau đó sẽ hiển thị này không xác nhận đầu vào, đoạn mã chạy trên các trình duyệt như là mặc dù các trang web đáng tin cậy tạo ra nó.

Chi nhánh

Nếu đầu vào cho các trang Web năng động của bạn không được xác nhận, bạn có thể gặp phải những vấn đề sau đây:
 • Toàn vẹn dữ liệu có thể được thỏa hiệp.
 • Cookie có thể được thiết lập và đọc.
 • Đầu vào người sử dụng có thể được chặn.
 • Script độc hại có thể được thực hiện bởi các khách hàng trong bối cảnh của nguồn đáng tin cậy.
Những trang Web có nguy cơ? Về bản chất, vấn đề ảnh hưởng đến trang năng động tạo dựa trên đầu vào không được xác nhận. Ví dụ điển hình bao gồm các loại sau đây của các trang Web:
 • Công cụ trở lại các trang kết quả dựa trên đầu vào người sử dụng tìm kiếm.
 • Các trang đăng nhập mà lưu trữ tài khoản người dùng trong cơ sở dữ liệu, cookie, và vv và sau đó ghi tên người dùng cho khách hàng.
 • Web hình thức xử lý thông tin thẻ tín dụng.

Công tác phòng chống

Phần này trình bày một vài phương pháp tiếp cận để ngăn chặn các cuộc tấn công an ninh cross-site scripting. Đánh giá tình hình cụ thể của bạn để xác định kỹ thuật mà sẽ làm việc tốt nhất cho bạn. Điều quan trọng là cần lưu ý rằng trong tất cả các kỹ thuật, bạn đang phê chuẩn dữ liệu mà bạn nhận được từ đầu vào và không có script của bạn tin cậy. Về bản chất, công tác phòng chống có nghĩa rằng bạn làm theo tốt thực hành mã hóa bằng cách chạy kiểm tra sanity vào đầu vào của bạn để thói quen của bạn.

Danh sách sau vạch ra các phương pháp tiếp cận chung để ngăn chặn các cuộc tấn công cross-site scripting:
 • Mã hóa đầu ra dựa trên các thông số đầu vào.
 • Lọc các thông số đầu vào cho ký tự đặc biệt.
 • Bộ lọc ra dựa trên các thông số đầu vào cho ký tự đặc biệt.
Khi bạn lọc hoặc mã hóa, bạn phải chỉ định một ký tự đặt cho các trang Web của bạn để đảm bảo rằng bộ lọc của bạn đang kiểm tra các ký tự đặc biệt thích hợp. Dữ liệu được chèn vào các trang Web của bạn nên lọc ra trình tự byte được coi là đặc biệt dựa trên tập ký tự cụ thể. Một charset phổ biến là ISO 8859-1, đó là mặc định trong các phiên bản đầu của HTML và HTTP. Bạn phải đưa vào tài khoản các vấn đề địa phương hoá khi bạn thay đổi các tham số.

Mã hóa đầu ra dựa trên các thông số đầu vào cho ký tự đặc biệt

Mã hóa dữ liệu đó nhận được như đầu vào khi bạn viết nó ra dưới dạng HTML. Điều nàykỹ thuật có hiệu quả vào dữ liệu mà không được xác nhận cho một số lý do trong thời gian đầu vào. Bằng cách sử dụng kỹ thuật chẳng hạn như URLEncodeHTMLEncode, bạn có thể ngăn ngừa độc hại kịch bản thực hiện.

Đoạn mã sau đây chứng minh làm thế nào để sử dụng URLEncodeHTMLEncode từ Active Server Pages (ASP) trang:
<%   var BaseURL = http://www.mysite.com/search2.asp?searchagain=;   Response.write("<a href=\"" + BaseUrl +   Server.URLEncode(Request.QueryString("SearchString")) +   "\">click-me</a>");%><% Response.Write("Hello visitor <I>" +   Server.HTMLEncode(Request.Form("UserName")) +   "</I>");%>				
Nếu bạn mã hóa HTML và các URL, bạn có thể cần phải chỉ định trang mã nhưbạn sẽ nếu bạn đã là lọc dữ liệu.

Điều quan trọng cần lưu ý rằng kêu gọi là HTMLEncode trên chuỗi đó là về để được hiển thị sẽ ngăn chặn bất cứ kịch bản trong nó từ đang được thực thi và do đó ngăn ngừa vấn đề.

Lọc các thông số đầu vào cho ký tự đặc biệt

Lọc đầu vào hoạt động bằng cách loại bỏ một số hoặc tất cả các ký tự đặc biệt từ đầu vào của bạn. Ký tự đặc biệt là nhân vật mà kích hoạt kịch bản để được tạo ra trong một dòng HTML. Ký tự đặc biệt bao gồm:
< > " ' % ; ) ( & + -				
Lưu ý rằng tình hình cá nhân của bạn có thể đảm bảo việc lọc ký tự bổ sung hoặc dây vượt ra ngoài các ký tự đặc biệt.

Trong khi lọc có thể là một kỹ thuật có hiệu quả, có một vài hãy cẩn thận:
 • Lọc có thể không thích hợp cho một số đầu vào. Ví dụ, trong các tình huống nơi bạn đang nhận được <text> đầu vào từ một hình thức HTML, bạn có thể thay vì chọn một phương pháp như mã hóa (xem bên dưới).</text>
 • Một số nhân vật lọc thực tế có thể yêu cầu đầu vào kịch bản phía máy chủ.
Bộ lọc mẫu sau đây được viết bằng JavaScript, chứng tỏ làm thế nào để loại bỏ các ký tự đặc biệt:
function RemoveBad(strTemp) {   strTemp = strTemp.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,"");   return strTemp;} 				
Đoạn mã sau quá trình đầu vào người sử dụng trước khi lưu trữ nó để sử dụng sau này.
<% Session("StoredPreference") = RemoveBad(Request.Cookies("UserColor"));     var TempStr = RemoveBad(Request.QueryString("UserName"));				

Bộ lọc ra dựa trên các thông số đầu vào cho ký tự đặc biệt

Kỹ thuật này là tương tự như lọc đầu vào ngoại trừ việc bạn lọc ký tự được viết cho khách hàng. Trong khi điều này có thể là một kỹ thuật có hiệu quả, nó có thể trình bày một vấn đề cho các trang Web viết ra các phần tử HTML.

Ví dụ, trên một trang mà viết ra<table>các yếu tố, một chức năng chung chung mà loại bỏ các ký tự đặc biệt sẽ dải các < and=""> ký tự, mà tàn tích các<table>từ khóa. Vì vậy, để các kỹ thuật này là hữu ích, bạn sẽ chỉ lọc dữ liệu thông qua tại hoặc dữ liệu mà trước đây được đưa vào bởi một người sử dụng và lưu trữ trong cơ sở dữ liệu.</table></table>

Có thể nguồn dữ liệu độc hại

Trong khi vấn đề áp dụng cho bất kỳ trang nào sử dụng đầu vào để tự độngtạo ra HTML, sau đây là một số nguồn có thể độc hại dữ liệu để giúp bạn kiểm tra tại chỗ cho các rủi ro bảo mật tiềm năng:
 • Chuỗi truy vấn
 • Cookie
 • Đăng dữ liệu
 • Các URL và miếng các URL, chẳng hạn như PATH_INFO
 • Dữ liệu Lấy từ người dùng rơi trong một số thời trang nhưtrong cơ sở dữ liệu

Kết luận

Tóm lại, sau đây là điểm quan trọng cần nhớ về cáccross-site scripting của vấn đề an ninh:
 • Vấn đề ảnh hưởng đến trang năng động tạo dựa trên đầu vào không được xác nhận.
 • Thiếu sót của một kiểm tra sanity vào dữ liệu đầu vào có thể có những tác động an ninh bất ngờ. Vấn đề là ngăn ngừa được thông qua các tiêu chuẩn phát triển tốt như xác nhận đầu vào.
 • Bạn cần phải đánh giá các giải pháp trên một cho mỗi trang web, trang, và thậm chí cả lĩnh vực cơ sở và sử dụng một kỹ thuật mà làm cho cảm giác.
THAM KHẢO
Để biết thêm chi tiết, xem sau Active từ máy tính Emergency Response Team (CERT) tại Đại học Carnegie Mellon:Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
253117Preventing Internet Explorer và Outlook Express cross-site scripting vấn đề bảo mật
253119 Làm thế nào để xem xét ASP mã cho CSSI dễ bị tổn thương
253120 Làm thế nào để xem xét trực quan InterDev tạo ra mã cho CSSI dễ bị tổn thương
253121 Làm thế nào để xem xét MTS/ASP mã cho CSSI dễ bị tổn thương

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 252985 - Xem lại Lần cuối: 12/05/2015 18:28:14 - Bản sửa đổi: 3.0

Microsoft Windows 2000 Server

 • kbnosurvey kbarchive kbcodesnippet kbcssi kbhowto kbsecurity kbmt KB252985 KbMtvi
Phản hồi