如何检测网站是否存在XSS跨站漏洞

为了防止发生XSS， 不少浏览器厂商都在浏览器中加入安全机制来过滤XSS。 例如IE8，IE9，Firefox, Chrome. 都有针对XSS的安全机制。 浏览器会阻止XSS。最好使用ie7来测试。

方法一：  查看代码，查找关键的变量,   客户端将数据传送给Web 服务端通常经过三种方式 Querystring, Form表单，以及cookie.  例如在ASP的程序中，经过Request对象获取客户端的变量。

<%
strUserCode =  Request.QueryString(“code”);
strUser =  Request.Form(“USER”);
strID =    Request.Cookies(“ID”);
%>

假如变量没有通过htmlEncode处理， 那么这个变量就存在一个XSS漏洞方法二：　准备xss跨站漏洞测试脚本， "/><script>alert(document.cookie)</script><!--
< script>alert(document.cookie)</script><!--
"onclick="alert(document.cookie)  在网页中的Textbox或者其余能输入数据的地方，输入这些测试脚本， 看能不能弹出对话框，能弹出的话说明存在XSS漏洞

 在URL中查看有那些变量经过URL把值传给Web服务器， 把这些变量的值退换成咱们的测试的脚本。  而后看咱们的脚本是否能执行

 

方法三:  自动化测试XSS漏洞
如今已经有不少XSS扫描工具了。 实现XSS自动化测试很是简单，只须要用HttpWebRequest类。 把包含xss 测试脚本。发送给Web服务器。 而后查看HttpWebResponse中，咱们的XSS测试脚本是否已经注入进去了。