让iframe失效,使自己的网站不怕iframe网马

方法一
"FSO功能:"-"关闭站点Fso功能".将站点的fso功能关闭掉.这样子基本上就可以杜绝目前的asp木马.如果需要上传附件的话.可以通过"SAFileUp"."aspupload".等组件进行上传.

方法二
  辛辛苦苦做的网站突然被挂马,究其原因是因为网页带病毒,打开代码发现所有的页面的代码最后一行都多了一句:
引用内容
  < IFRAME src="http://www.xxx.xxx ">< /IFRAME >
  打开引用页面一看防病毒软件一顿乱响,找到元凶了这可怎办?
  最后一行怎么弄都不行?!!
  其实很简单我们只需要在 < STYLE >< / STYLE > 之间加上一句
完整如下:
程序代码
<style>
iframe{v:e xpression(this.src='about:blank',this.outerHTML='');}
</style>
就可以了其实这是用了CSS样式表来对网页中所有的FRAME对象进行"洗脑"把iframe中的src属性的值换成空白页这样加进去的iFRAME 代码就不起作用了。
这个解决方案除了IFRAME里面的JS代码alert方法不能屏蔽之外,其他任意JS都可以不起作用。
如果要使自己的IFRAME显示在网页里,别人挂的IFRAME马都不起作用,在CSS里加一个
程序代码
#f126{v:e xpression() !important} 
就OK了,
对应的IFRAME代码为
程序代码
:<iframe id="f126" name="f126" src="http://www.baidu.com "></iframe>
 
当然挂马者可以构造这样的代码
引用内容
<iframe style="v:e xpression() !important" src="URL"></iframe>
使这个防御方式失效,不过它得特意去看这里的CSS里iframe里的前缀v,如果我们的v是变化的呢,哈哈,是不是也不管用呢!

  其实还有一种方法同样是使用CSS样式表来防范我们这次需要在CSS加上一大段:
引用内容
xmp {
width:1px;
overflow:hidden;
text-overflow:clip;
white-space: nowrap;
clear: none;
float: none;
line-height: 0px;
display: inline;
}
  然后在网页的最后一行加上一个标签< XMP >这样也同样能是加在网页最后一行的iframe失效。原来CSS除了好看还能干点别的:-)
  另外除了上面两种方法以外我们还可以在所有asp文件的最后一行加上
程序代码
  < % response.end() % >
让脚本运行到这里就停止运行不论后面再写什么东西。
  其实这只是治标的办法要治本还有找到真正的“马”那就需要大家的眼力了看看网页目录里面有没有异常的文件——扩展名异常。
  比如在一大堆的asp文件里面突然多了一个php的文件或者有一个jsp又或者有一个asa文件那你就危险了!那个文件就很有可能就是一匹是真正的 “马”了。
小结:以上的方法只是使IFRAME里的文件不起作用,但以后的挂马方式改变了,就不能用这种方法了,例如改成<script></script>方式挂,就不能用这种方法解决了

 

已标记关键词 清除标记
课程简介: 历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击、防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页