介紹 跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了 HTML 以及使用者端手稿語言。 XSS 攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是 JavaScript,但實際上也可以包括 Java,VBScript,ActiveX,Flash 或者甚至是普通的 HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些
閱讀更多日期: 2021 年 10 月 28 日
如何解決 Apache 上網站弱點掃描的 Cross-Frame Scripting 問題?
介紹 網站弱點掃描如果有列到 Cross-Frame Scripting 這一項弱點,上網查詢後是這原因「此 URL 可被嵌入在測試 網頁的框架中,惡意攻擊者可於框架外建立釣魚頁面,進而騙取使用者做出意想之外的行為」。 解決方法 依照伺服器類型會有不同的解法,可參考以下文章 https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Headers/X-Frame-Options 在 Ubuntu 的 Apache 伺服器解決方法 Apache 的伺服器架設可以根據此篇文章 以下解決方法可能會根據架設環境的不同,有不同的修改方式,但是步驟上基本上是一樣。
閱讀更多