`
xiangqian0505
  • 浏览: 321629 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Internet Explorer 已对此页面进行了修改,以帮助阻止跨站点脚本

    博客分类:
  • java
阅读更多

ie浏览器提示错误的原字样为: Internet Explorer 已对此页面进行了修改,以帮助阻止跨站点脚本!

  • 问题所在环境:
  1. 浏览器: ie8+
  2. 系统:winxp win7 vista
  3. post请求至其他域名站点(非本站点域名)

如果满足以上三点问题,我就大概可以确定你所发生的问题就是我这篇博文要解决的问题。

  • 解决办法:

只需要在目标页面添加一个header头标记就可以搞定这个问题,

  1. response.addHeader("X-XSS-Protection","0");
response.addHeader("X-XSS-Protection","0");

 

  • 官方解释(跨站点脚本筛选):

    一个网站向另一个网站注入或添加 JavaScript 进行非法请求,即构成跨站点脚本攻击。原始请求一般都是合法的,例如原始请求可以是一个指向另一个页面的链接,也可以是提供常用服务(如留言簿)的通用网关接口 (CGI) 脚本。注入的脚本通常会尝试访问另一个网站不允许访问的特权信息或服务。响应或请求通常会将结果反馈给该恶意网站。XSS 筛选器是 Windows® Internet Explorer® 8 的新功能,用于检测 URL 和 HTTP POST 请求中的 JavaScript。检测到 JavaScript 时,XSS 筛选器会搜索反射的证据,即攻击请求在没有更改的情况下提交时,返回给攻击网站的信息。如果检测到反射,XSS 筛选器将审查该原始请求,这样附加的 JavaScript 将无法执行。
    详细参考地址: http://technet.microsoft.com/zh-cn/library/dd638324%28WS.10%29.aspx

  • 其他解决办法:
    在 "Internet 控制面板" 中控制 XSS 筛选器,具体参考 http://bjyzxxds.iteye.com/blog/453119
  • 两种方法对比:

    两种方法对比,我感觉第一种解决方法是最为合适的,想让某一个页面跨站点脚本,可以添加一个header就ok,这样相对于其他的站点访问,安全问题是最大的,其他解决办法是通过设置internet选项,这种方法不是很安全,因为所有的页面都会公用这一个设置,所以安全存在很大的问题!还有一个问题就是现在的项目都是bs模式的,所以说用户所用的工具都是浏览器,为了实现这一个效果,不可能每次给用户配置电脑的时候,都得说把internet里面的xss选项给禁用了。

 

分享到:
评论

相关推荐

    Bypassing Internet Explorer's XSS Filter

    ### 绕过Internet Explorer 9 的 XSS 过滤器:深度解析 在黑帽大会(Black Hat Conference)上,一篇名为《绕过Internet Explorer 9 的 XSS 过滤器》的论文引起了广泛关注。作者迈克尔·布鲁克斯(Michael Brooks)...

    脚本语言编程脚本语言编程

    VBScript是一种微软开发的轻量级脚本语言,主要应用于Internet Explorer浏览器和Windows环境中。在实验中,学生需要掌握VBScript的基本语法,例如使用`InputBox()`函数获取用户输入的值,通过`Function`创建自定义...

    帮助文档-IE8浏览器环境配置.doc

    XSS(Cross Site Scripting)筛选器是IE8引入的一种安全机制,用于防止跨站脚本攻击。在某些情况下,可能需要禁用它以测试特定的网页行为。在"安全"页签下的"自定义级别"对话框中,找到"禁止脚本注入"选项,并将其...

    vc源码设置信任站点

    标题“vc源码设置信任站点”涉及到的是在开发基于Visual C++(vc)的应用程序时,尤其是涉及到网页控件和ActiveX技术时,如何确保这些控件能够在用户的Internet Explorer(IE)浏览器中正常运行的问题。这通常需要...

    在此页面上的activex控件和本页上的其他控件的交互可能不安全

    ActiveX控件通常以.DLL或.OCX文件形式存在,并且只能在Internet Explorer浏览器中运行,因为它是为Windows平台设计的。 ### 浏览器安全机制 为了保护用户的安全,现代浏览器实施了多种安全策略,其中最重要的是...

    页面串口通信代码(activeX)

    页面串口通信是Web应用程序与硬件设备交互的一种技术,它允许网页通过JavaScript或者特定插件如ActiveX与计算机的串行端口进行数据交换。在本文中,我们将深入探讨这个主题,尤其是涉及到ActiveX控件的实现方式。 ...

    如何修复IE8的后退键失效.docx

    在使用Internet Explorer 8(以下简称IE8)时,用户可能会遇到一个问题,即浏览器的后退键突然失效,无法像往常一样浏览历史记录返回到上一个页面。这可能是由于浏览器的安全设置或者某些脚本设置导致的。为了解决这...

    xsser:跨站点“ Scripter”(又名XSSer)是一种自动框架,用于检测,利用和报告基于Web的应用程序中的XSS漏洞

    网址: : 跨站点“脚本程序”(又名XSSer)是一种自动框架,用于检测,利用和报告基于Web的应用程序中的XSS漏洞。 它提供了几个选项来尝试绕过某些过滤器以及各种特殊的代码注入技术。 XSSer已预先安装了[> 1300 ...

    Paros工具使用手册

    - **浏览器配置**:为使Web浏览器(如Internet Explorer)能通过Paros代理发送请求,需将代理服务器设置为`localhost`,端口设置为8080。 #### 功能介绍 - **Spider抓取**: - **作用**:通过输入初始URL,Spider...

    win10下OCX控件打CAB包web页面使用教程(亲测可用)

    这个过程涉及到多个步骤,包括控件的创建、打包、注册以及解决在IE(Internet Explorer)浏览器中加载的问题。以下是一份详细的教程,旨在指导你完成这些任务。 **1. 创建OCX控件** 首先,你需要创建一个OCX控件。...

    eclipse插件IE插件

    这种插件允许开发者在编写代码的同时,即时查看页面在实际浏览器中的渲染效果,以便于快速定位和修复样式、脚本等问题。例如,"Web Tools Platform"(WTP)是Eclipse的一个扩展,它包含了一些用于Web开发的工具,...

    IE11离线安装包.zip_万能驱动离线安装包

    IE11支持HTML5、CSS3等现代Web技术,并提供了更好的隐私保护和跨站点脚本防护。 2. **离线安装**:离线安装是指在没有互联网连接或者网络环境不稳定的情况下,通过本地下载的安装包来安装软件。这种方式特别适合在...

    HttpWatch网络监控工具!

    6. **集成环境**:HttpWatch无缝集成到Internet Explorer和Firefox浏览器中,使得在日常浏览过程中就可以轻松进行性能测试。 7. **报告生成**:HttpWatch可以生成详细的性能报告,包含图表和数据,方便分享和讨论。...

    windows2003将IE6升级为IE8

    1. **安全增强**:IE8引入了更强大的安全功能,如改进的恶意软件防护、增强的隐私保护(InPrivate浏览模式)和更好的跨站点脚本过滤。 2. **兼容性视图**:IE8提供了“兼容性视图”,允许用户以旧版本的IE模式显示...

    asp内嵌flash(ie中无法显示问题已解决)

    然而,有时在特定浏览器,特别是IE(Internet Explorer)中,可能会遇到Flash无法正常显示的问题。这个问题可能由多种原因引起,包括浏览器设置、Flash插件版本、兼容性问题等。 首先,确保用户使用的IE浏览器版本...

    IE11浏览器

    同时,通过严格的同源策略和跨站点脚本过滤,IE11提升了用户数据的安全性。 ### 4. 兼容性视图 IE11的兼容性视图模式允许用户以较旧的渲染模式浏览那些尚未完全适应现代浏览器标准的网站。这使得用户在享受新功能...

    [资源分享]解决Win10下IE浏览器树形控件treeview无法显示的问题

    在Windows 10操作系统中,Internet Explorer(IE)浏览器是一款常用的网页浏览工具。然而,有时用户可能会遇到在网页中使用树形控件TreeView时无法正常显示的问题。这可能是由于多种原因引起的,包括但不限于浏览器...

    Webgoat中文使用手册v2.2

    - **Ajax安全(Ajax Security)**:聚焦于Ajax技术的安全性,涉及同源策略保护、基于DOM的跨站点脚本攻击、客户端过滤、DOM注入、XML注入、JSON注入、静默交易攻击、危险指令使用和不安全的客户端存储等方面。...

    ie8-winxp-x64-en

    5. **更强大的安全特性**:包括SmartScreen筛选器,用于检测和阻止恶意软件和钓鱼网站,以及改进的跨站点脚本防御。 标签“ie8”、“winxp-x64-en”和“IE8中文”强调了这个版本与Windows XP x64操作系统和中文界面...

Global site tag (gtag.js) - Google Analytics