如何关闭跨站点脚本 (XSS) 筛选器
这个错误是由于 IE8 的跨站脚本(Cross-site scripting, XSS)防护阻止了跨站发送的请求。
点击 IE8 的“工具”-“Internet 选项”,进入“安全”选项卡,打开“Internet”下方的“自定义级别”,在“安全设置”对话框中找到“启用 XSS 筛选器”,改为“禁用”即可。
IE浏览器哪个版本好用,6,7,还是8
IE8在特性功能和性能方面都有重大改进,因此日常网络冲浪将更加快捷。 下面的这些特性使IE8更加快速、方便:
智能地址栏:智能地址栏让用户可以更方便地找到所需的网站。 它可以高效地把历史记录、收藏夹中的标题同用户输入地址栏的内容进行匹配,而不会出现重复的情况。
选项卡分组:选项卡分组让用户可以快速地确认哪个选项卡有。 当点击一个选项卡中的链接而导向另外一个时,新的选项卡会在旁边出现,而且两个选项卡都会用一个颜色进行标记。
重新设计“新选项卡”页面:IE8中的“新选项卡”页进行了重新设计,让用户可以点击页面执行常见任务。
重新打开上次浏览的页面:在不小心关闭浏览器或浏览器崩溃的情况下,IE8让用户可以重新打开最近浏览的页面。
增强的“页面内查找”:改进了人们在网页中搜索文本的方式。
?页面内查找:按Ctrl+F或者在编辑菜单或即时搜索对话框中选择,即可开启页面内查找功能。 工具条显示在用户的选项卡下面,因此不会阻碍页面上的任何文本。
?结果数:强化的页面内查找功能会显示搜索词在页面中出现的次数。
?结果高亮显示:强化的页面内查找功能让用户可以迅速找到搜索项目,因为搜索文本出现的所有地方都会高亮显示。
为IT专业人士实现更便捷的部署与管理
IE8提供了方便IT专业人士的新特性。 某些能够改善IT网络管理和部署的特性包括:
Slipstream安装:它可以实现IE8的部署和作为WindowsVista操作系统映像一部分的定制,不再需要单独安装。 当以这种方式部署IE8时,它将成为WindowsVista的一部分,因此改善桌面一致性和可管理性。
简化的InternetExplorer管理工具包:InternetExplorer管理工具包帮助IT专业人士轻松地配置部署设置,现在支持收藏夹定制和导入加速器的能力。
组策略强化:IE8让IT管理员可以控制和配置包括加速器和网页快讯在内的浏览器特性,并且新增了140多种组政策设置,使总数达到接近1500种,大大方便浏览器的部署、配置和定制。 在连接限制、InPrivate、兼容性查看和SmartScreen等区域有多个新的组政策对象。
增强的开发平台让开发工作更加便捷
除了在标准支持方面的重大改进,IE8还包括面向开发人员的额外平台特性。 IE8在很多子系统中改进了性能,例如HTML解析器、级联样式表(CSS)规则处理、标签树操作、Jt解析器、清除对象运行时间和内存管理,帮助网络开发人员开发更轻松地创建有吸引力的网站。 针对开发人员的特性包括:
CSS2.1:IE8全面支持CSS2.1规范,因此网络开发人员和设计人员可以立刻开发网页并使其更轻松地在多种浏览器上准确地渲染。
文档对象模型(DOM)与HTML4.01改进:IE8修复了很多跨浏览器不一致性问题;例如,获取/设置/删除属性等操作可以与其他浏览器互操作,而在异步Javat与XML(AJAX)设计中,开发人员将体验到性能的大幅提升。
新兴标准:IE8融合了未来会成为行业标准的技术进步,例如W3C的HTML 5 Draft DOMStorage标准、WebApplications Working Group的Selectors API和ECMAt3.1语法。
面向AJAX应用的全新浏览特性:开发人员现在可以在其AJAX应用中更新浏览器前后浏览堆栈以及地址栏,以便这些浏览器功能可以在AJAX应用中使用。
Acid2:IE8能准确地渲染Acid2浏览器测试。
兼容性:IE8附带更多符合标准的排版引擎,让开发人员可以为多款浏览器开发采用单一标准的网站。 为了让开发人员可以选择何时迁移到符合新标准的布局引擎,IE8允许网络开发人员采用IE7布局引擎,只需在代码中插入简单的元标签或在服务器上添加简单的http标头。
开发人员工具:让开发人员可以在可视环境中快速调试HTML、CSS和Jt。 这些工具已经直接植入IE8并且包括扩展功能,包括用于在查看源代码时选择哪个应用程序的菜单选项。 根据这个工具提供给DOM的分析,开发人员可以快速地发现和解决问题。
新功能突破页面限制
IE8允许用户突破页面限制而享受各种网络服务。 涉及的新特性包括:
加速器:加速器让人们可以从他们访问的任何页面轻松获得想要的在线服务。 同时,开发人员也可以轻松地扩展网络服务的覆盖范围。 通过消除了之前访问内容和服务过程中的多数鼠标点击,加速器让用户更加快速地浏览网络。
网页快讯:借助网页快讯,人们通常不必离开正在浏览的网页即可看到他们最希望看到的信息,而开发人员可以把网页的某个部分标记为网页快讯,让用户可以轻松地监测他们最常浏览的信息。 在收藏夹一栏中,用户可以发现以粗体显示的包含更新内容的网页快讯,有可视化的内容并且包含到源网页的链接。
可视化搜索:IE8中强化的即时搜索框更加实用,便于用户寻找感兴趣的内容并提高搜索结果的相关度。 当用户输入搜索词时,会实时看到来自所选搜索服务提供商的搜索建议,包括图像和富文本。 为了便于在网站和搜索服务提供商的搜索建议之间实时切换,搜索框的底端还提供了快捷菜单。 此外,强化的即时搜索框还可以显示用户的收藏夹和浏览历史的搜索结果。
迄今为止最安全、最可靠的Internet Explorer版本
随着网络威胁的演进,人们需要确保能够安全地上网。 通过让人们更好地控制和保护数据,IE8提升了用户的信息。 IE8提供了端到端的安全与隐私保护解决方案,主要涉及社会工程、针对网络服务器攻击的新型防御措施以及针对浏览器的安全防护改进。 IE8在安全与隐私保护方面的改进包括:
InPrivate:InPrivate通过避免在PC上保留用户的数据和隐私信息来提供防护。 这是一种针对第三方的防护,他们可能跟踪用户的网络活动。 用户能够独立地使用两种功能(InPrivate浏览与InPrivate过滤)。
?InPrivate浏览:启用后,InPrivate浏览确保不会在PC上记录浏览历史、临时Internet文件和cookies。 在InPrivate模式下,工具条和扩展工具会自动禁用,而浏览历史会在浏览器关闭时自动删除。
?InPrivate筛选:InPrivate筛选让用户可以阻止旨在跟踪和收集用户网络活动的第三方内容,从而帮助保护用户隐私。 用户会被提醒,能够选择和控制允许或阻止那些第三方内容。
兼容性视图:IE8提供了一种简单的方式来修复显示问题,例如菜单、图像和文本的错位,因为兼容性查看按钮可以按照页面最初的设计进行显示。 某些网站针对旧版浏览器而设计,因此无法在IE8中正常显示。 在默认情况下,IE8会以最符合标准的方式渲染内容。
?兼容性视图列表:使用IE8的用户可以选择接收在兼容性视图中效果最好的主要站点列表。 当浏览这个列表中的网站时,IE8会自动在兼容性视图模式下自动显示这个网站,而不要求用户按兼容性按钮。
自动崩溃恢复:在IE8中,如果某个选项卡崩溃,则会自动恢复并重新载入,用户在这个页面上已经输入的任何信息(例如撰写电子邮件或填表)都有可能恢复。
删除浏览历史记录:IE8强化了删除浏览历史记录的功能,支持删除某些cookies、历史记录和其他数据,同时保留针对喜欢站点的cookies、历史记录和其他数据。
SmartScreen筛选器:SmartScreen筛选器源于微软的钓鱼攻击过滤器,帮助防护更广泛的钓鱼威胁以及阻止试图下载恶意软件的网站。 现在,SmartScreen筛选器更加易于使用,提供强化的用户界面和报警信息,减少用户点击恶意网站的机会。
点击劫持预防:IE8的这个新特性让网站内容负责人可以在页头处增加一个标签,帮助防止点击劫持??一种跨站点请求欺诈行为。 点击劫持包括多种技术,用来欺骗用户无意地点击隐藏或不明显的Web元素,通常会引起意料之外的活动。 IE8检测插入标签的网站并显示错误屏幕来表明内容主机已经选择不允许显示内容,同时让用户可以选择在新窗口中打开内容。
跨站点脚本(XSS)筛选器:IE8帮助保护用户和系统避免信息泄露、cookie被盗和帐户/身份被盗,或者在不经用户允许的情况下假冒用户。 XSS攻击是利用网络服务器和网络应用进行攻击的一种新型攻击方式。 IE8拥有XSS过滤器,能够动态地检测1类XSS(反射)攻击。
数据执行防护(DEP):DEP在Windows Vista ServicePack1中的IE8内默认启用,通过防止特定类型的代码写入可执行内存区,这种安全功能可以帮助防止病毒和其他安全威胁损害计算机。
跨文件消息通讯(XDM):XDM提供了一种高度安全的方法,让不同的文档可以在双方同意的情况下进行通信。 XDM为双向跨文件通信提供了基于标准、性能更好的机制。 IE8还提供StaticHtml方法和本地ttNotation支持,在不牺牲性能的情况下保护数据。
跨域请求(XDR):IE8支持XDomainRequest对象,后者可以用来更安全地从另外一个域的服务器上请求公共资源。 跨域通信是AJAX开发和网状应用中不可缺少的一部分。 XDR现在检查特定网址和通配符的Access-Control-Allow-Origin。 只有当服务器信号清楚地表明跨域共享数据时,跨域数据才可用,帮助保护传统服务器不受攻击。
域名高亮显示:IE8以粗体字高亮显示地址栏中的网址字符串的域名,让用户更轻松地辨别他们正在访问那个网站,并帮助他们识别钓鱼网站和其它欺骗性网站。 域名以黑色字体显示,网址中其他的灰色字符相区别。
网站ActiveX:网站ActiveX通过提供“隐含的”SiteLock(限制特定网域访问的工具)减少攻击面,这样,在默认情况下,控制只会在安装后开始运行。 这使用户/管理员能管理哪些位置可以运行ActiveX。
单用户ActiveX:单用户ActiveX使开发人员能编写他们的ActiveX控件,这样当用户进行安装时,只会安装供该用户使用,而非供系统上的所有用户使用,并且为其他用户提供防止恶意软件或坏写入控制的保护
XSS是什么
1、XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
2、恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
3、XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
4、另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当要渗透一个站点,自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
[技术分享]点击劫持(clickjacking)是什么?
下面我们在很多可能的场景中举一个例子:到网站的一名访客认为他正在点击关闭窗口的按键,相反地,点击“X”键的行为促使电脑下载木马(Trojan horse)、转移银行账户里的我或者打开电脑的内置话筒。这个托管网站可能是被劫持的合法网站或某些知名网站的盗版。攻击者通过链接或邮件信息骗取用户来访问该网站。 研究人员Jeremiah Grossman和Robert Hansen发现了这个漏洞。他们是这么描述这件事的: 试想下那些能让你进入浏览器墙、银行电汇、推荐按键、CPC广告横幅、Netflix队列的所有网站的所有按键,不管是内部的还是外部的,这个清单几乎是无限长的,且相对来说这些例子都是无害的。下一步,考虑如果攻击可以无形地隐匿在用户点击的按键下,所以当他们点击他们看到的东西时,实际上他们已经点击了攻击者想让他们点的东西。如果说你有一个家用式无线路由器,那么你就有了通过认证的浏览网站优先权。恶意代码可能在你要点击的内容中置入一个标签,在一个简单按键中设计一个路由命令,如删除所有防火墙规则。 据说它由浏览器软件中的组成缺陷引起并会影响IE、Firefox、Safari和Opera。事实上,只有Lynx一类的非GUI浏览器受到保护,仅仅是因为这些界面中没有东西可点击。 根据Hansen所说,点击劫持(clickjacking)有多种变体:“其中有些需要跨域访问,有些不需要。有些在一个页面上覆盖整个页面,有些用内置页框来让你点击一点。有些需要Java脚本语言(JavaScript),有些不需要。” Facebook是常常发生点击支持(clickjacking)的场所。这里举一个更新状态的例子:“我的天,这家伙在对他前女友有复仇心时就有点过了。”用户点击的这个链接用仿造的CAPTCHA呈现,它实际上链到Facebook上的“喜欢”和“分享”按键。当用户回应时,这个伪造的状态更新键将内容提交到他的Facebook页面,同时还发布他喜欢这个视频。在Facebook上,大部分点击劫持应用都是为了收集用户信息和传播垃圾信息,尽管也有一些钓鱼攻击报道出来。 Ken Harthun在他的Security Corner博客中建议,“针对现在的情况,不管你现在用的那种浏览器,每个人都应该马上让脚本和内置页框失效。
点击劫持是什么意思?
点击劫持-主要特征点击劫持1、点击劫持是一种恶意攻击技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多浏览器和操作平台都有这样的漏洞。 2、点击劫持技术可以用嵌入代码或者文本的形式出现,在用户毫不知情的情况下完成攻击,比如点击一个表面显示是播放某个视频的按钮,而实际上完成的操作却是将用户的社交网站个人信息改为公开状态。 3、点击劫持这个词首次出现在2008年,是由互联网安全专家罗伯特?汉森和耶利米?
XSS攻击原理是什么?
什么是XSS攻击XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大家有帮助。 [编辑本段]如何寻找XSS漏洞就个人而言,我把XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。