為了防止發生XSS, 很多瀏覽器廠商都在瀏覽器中加入安全機制來過濾XSS。 例如IE8,IE9,Firefox, Chrome. 都有針對XSS的安全機制。 瀏覽器會阻止XSS。最好使用ie7來測試。
方法一: 查看代碼,查找關鍵的變量, 客戶端將數據傳送給Web 服務端一般通過三種方式 Querystring, Form表單,以及cookie. 例如在ASP的程序中,通過Request對象獲取客戶端的變量。
<%
strUserCode = Request.QueryString(“code”);
strUser = Request.Form(“USER”);
strID = Request.Cookies(“ID”);
%>
假如變量沒有經過htmlEncode處理, 那么這個變量就存在一個XSS漏洞方法二: 准備xss跨站漏洞測試腳本, "/><script>alert(document.cookie)</script><!--
< script>alert(document.cookie)</script><!--
"onclick="alert(document.cookie) 在網頁中的Textbox或者其他能輸入數據的地方,輸入這些測試腳本, 看能不能彈出對話框,能彈出的話說明存在XSS漏洞
在URL中查看有那些變量通過URL把值傳給Web服務器, 把這些變量的值退換成我們的測試的腳本。 然后看我們的腳本是否能執行
方法三: 自動化測試XSS漏洞
現在已經有很多XSS掃描工具了。 實現XSS自動化測試非常簡單,只需要用HttpWebRequest類。 把包含xss 測試腳本。發送給Web服務器。 然后查看HttpWebResponse中,我們的XSS測試腳本是否已經注入進去了。