ASP网站制作之跨站Script进击（一）

帮助用户快速实现各种应用服务，ASP商有整合各方面资源的能力，可在短期内为用户提供所需的解决方案。例如，典型的ERP安装，如果要在客户端安装的话需要半年到二年的时间，但是美国的一些ASP商如USI和CORIO能在90—120天内提供ERP应用方案。   跨站Script进击（一）


　　每当咱们想到黑客的时分，黑客常常是如许一幅画像：一个伶仃的人，悄然进入他人的办事器中，停止损坏或盗取他人的秘
密材料。或许他会更改咱们的主页，甚者会盗取客户的信誉卡号和暗码。别的，黑客还会进击会见咱们网站的客户。与此同时，我
们的办事器同样成了他的爪牙。微软称这类进击为“跨站script”进击。而这类进击大多半都产生在网站静态发生网页的时侯，但黑
客的方针并非你的网站，而是阅读网站的客户。

跨站script进击的申明

　　在一本名为<<ADVISORY CA--2000-02>>的杂志中，CERT正告人人：假如办事器对客户的输出不停止无效验证，黑客就会输出
一些歹意的HTML代码，当这些HTML代码输出是用于SCRIPT法式，他们就可以使用它来停止损坏，如拔出一些使人讨厌的图片或声响
等，同时，也无能扰了客户准确阅读网页。

　　咱们晓得，有些伴侣已经被引诱到一些可疑的收费网站，他们失掉的仅仅是10到20个小的窗口，这些窗口经常陪伴着由JAVA
或 JAVASCRIPT生成的生效安钮，这被称为鼠标圈套。封闭这些窗口是白费的，每当咱们封闭一个窗口，又会有10几个窗口弹出。
这类情形经常产生在办理员没在的时侯产生。鼠标事务是黑客使用跨站SCRIPT办法攻客户的典范典范。

　　歹意的标签和SCRIPT不纯真的恶作剧，他们乃至可以盗取材料和摧毁体系。一个伶俐的乃至是不敷伶俐的黑客都可以利用
SCRIPT搅扰或改动办事器数据的输出。使用SCRIPT代码也能进击客户体系，让你的硬盘尽损。并且你要晓得，在你一边利用办事
器的时分，黑客的SCRIPT也正在你办事器里平安的中央运转着的呀！假如客户对你的办事器十分信认，一样他们也会信赖那些歹意
的SCRIPT代码。乃至这个代码是以〈SCRIPT〉或〈OBJECT〉的模式来自黑客的办事器。

　　即便利用了防火墙（SSL）也不克不及避免跨站SCRIPT的进击。那是由于假如生成歹意SCRIPT代码的装备也利用了SSL，咱们办事
器的SSL是不克不及分辨出这些代码来的。咱们岂非就如许把客户已经那末信赖的网站拱手让给黑客吗？并且有这类损坏的存在，会让你
网站信用尽损的。

1、跨站SCRIPT进击示例：

　　依据CERT的材料，静态输出大致有这几种模式：URL参数，表格元素，COOKISE和数据恳求。让咱们来剖析一下，这个只要两
个页面的网站，网站名为：MYNICESITE.COM。第一页利用一张表格或COOKIE来获得用户名：

<%@ Language=VBScript %>

<% If Request.Cookies("userName") <> "" Then

Dim strRedirectUrl

strRedirectUrl = "page2.asp?userName="

strRedirectUrl = strRedirectUrl & Response.Cookies("userName")

Response.Redirect(strRedirectUrl)

Else %>

<HTML>

<HEAD>

<TITLE>MyNiceSite.com Home Page</TITLE>

</HEAD>

<BODY>

<H2>MyNiceSite.com</H2>

<FORM method="post" action="page2.asp">

Enter your MyNiceSite.com username:

<INPUT type="text" name="userName">

<INPUT type="submit" name="submit" value="submit">

</FORM>

</BODY>

</HTML>

<% End If %>

第二页前往用户名以示接待：

<%@ Language=VBScript %>

<% Dim strUserName

If Request.QueryString("userName")<> "" Then

strUserName = Request.QueryString("userName")

Else

Response.Cookies("userName") = Request.Form("userName")

strUserName = Request.Form("userName")

End If %>

<HTML>

<HEAD></HEAD>

<BODY>

<H3 align="center">Hello: <%= strUserName %> </H3>

</BODY>

</HTML>
　　当你正经常输出文字时，一切都很正常。假如你输出Script代码：<SCRIPT>alert('Hello.';</script>,JavaScript正告标
签就会弹出来：
　　在你下一次会见时，这个警示标签一样会呈现；这是由于这个Script代码在你第一次会见的时后就已留在cookie中了。这是
一个复杂的跨站进击的典范。

　　假如你以为这是一个特别情形，你也无妨到网上其余中央看看，亲身试一下。我已经对一些大型的当局网站、教导网站和商
业网站停止过测试，他们傍边切实其实有局部呈现了以上所说的情形，我乃至发明了我常常利用信誉卡的网站也竟然对输出不停止任何
过滤，想一想真是恐怖。

from allasp
写软件都是想的时间比写的时间要长的.如果反过来了就得看看是什么原因了. 另外大家可以回去问问公司里的小MM.(一般企业里,跟你们交付软件接触得最多的是她们)

那么，ASP.Net有哪些改进呢？