ASP教程之跨站Script进击(二)
对于中小型web应用来说,php有很强的竞争力,linux+apache+mysql+php(lamp)的组合几乎可以胜任绝大多数网站的解决方案,对于大型应用来讲,对于系统架构要求更高,需要有成熟的框架支持,jsp的struts是个不错的框架,国内介绍它的资料也非常多,应用逐渐广泛起来。asp就不用说了, 跨站Script进击(二)2、 用E-Mail停止跨站Script进击
跨站script进击用在列表办事器,usenet办事器和邮件办事器来得出格轻易。上面仍是以MyNiceSite.com网站为例停止说
明。因为你常常阅读这个网站,它的内容也切实其实让你爱不爱不释手,因而在不知不觉中你就把阅读器的改成了老是信赖这个静态网
站内容的设置。
MyNiceSite.com网站老是经由过程出售征订它们Email函件的邮箱地址来取得支出,这切实其实是一种不太好的举措。因而我买了它的
一份邮箱地址。并发了大批的邮件给你们。在信中我告知你们尽快会见这个网 站,并反省你们帐户利用的最新情形。为了让你们感
到便利,我在这信中也作了链接。我在这链接URL中的username参数中舔加了script代码。有些客户在不知不觉中就点击了这个链
接,也就是说上了我确当(如图),同时我也从中失掉了优点:
它是如许任务的,当你点击这个链接的时后,在链接里的script代码就会引诱你所用阅读器去下载我的JavaScript法式并履行
它。我的Script反省到你利用的是IE阅读器后,就着手下载ActiceX控件 particularlyNasty.dll。由于之前你已把这个网站
的内容以为老是平安的,如许,我的script代码和Active 控件就可以在你机械上无拘无束的运转了。
3、 Activex进击申明
在会商ActiveX时,CERT和微软都没提到跨站script办法所带来的的风险。W3C在<<平安罕见成绩解答>>中对ActiveX的平安
成绩作了对照详实的申明。Java applet对体系的掌握遭到严厉限制。SUN开辟它时就划定,只要那些对体系的平安不组成威逼的操
作才被答应运转。
在另外一方面,ActiveX对体系的操作就没有严厉地被限制。假如一但被下载,就能够象装置的可履行法式一样做他们想干的事
情。针对这一特色IE阅读器也作了某些限制,如关于那些不平安的站点,在它的默许设置中就会不答应你停止下载或会给你正告
的提醒。正在基于ActiveX停止开辟的公司,如VeriSign公司,它们对ActiveX控件都给编了号。当你鄙人载控件的时后,IE阅读
器会给你正告并显示它的可托籁水平。由用户决意是不是信任这个控件。如许一来体系的平安性就增添了。
然而,关于那些没有几何经历的用户来讲,他们常常不盲目地对本来的设置停止了修正,让这些控件在没有任何提醒的情形下
就下载了。别的,对一个老手来讲,即便在有提醒的情形下也会不加思考地下载那些没作任何标志的控件。在咱们所举的例子中,
因为你对该站点的信赖,改了阅读器的设置,如许,ActiveX控件在不经由任何提醒的情形下就下载,并在你的机械上不知不觉地
入手下手运转。
4、16进制编码的ActiveX Script 进击
要把专心不良的标签和script辨别出来是一件十分坚苦的事。Script还可以16进制的模式把本人藏起来。让咱们看看上面这个
E-mail典范好吗?它是以16进制的模式被发送出去的:
这几近是一封完全的邮件,外面包括了以16进制捏造的URL参数:sender=mynicesite.com。当用户点击链接时,用户的阅读
器就会直接入手下手第一例所说的处置进程而弹出正告窗口。
Windows本身的所有问题都会一成不变的也累加到了它的身上。安全性、稳定性、跨平台性都会因为与NT的捆绑而显现出来; Application:这个存储服务端的数据,如果不清除,会直到web应用程序结束才清除(例如重启站点) 下载一个源代码,然后再下载一个VBScript帮助,在源代码中遇到不认识的函数或是其他什么程序,都可以查帮助进行解决,这样学习效率很高。 ASP.Net摆脱了以前ASP使用脚本语言来编程的缺点,理论上可以使用任何编程语言包括C++,VB,JS等等,当然,最合适的编程语言还是MS为.NetFrmaework专门推出的C(读csharp),它可以看作是VC和Java的混合体吧。 下载一个源代码,然后再下载一个VBScript帮助,在源代码中遇到不认识的函数或是其他什么程序,都可以查帮助进行解决,这样学习效率很高。 代码逻辑混乱,难于管理:由于ASP是脚本语言混合html编程,所以你很难看清代码的逻辑关系,并且随着程序的复杂性增加,使得代码的管理十分困难,甚至超出一个程序员所能达到的管理能力,从而造成出错或这样那样的问题。 从事这个行业,那么你可以学ASP语言,简单快速上手,熟练dreamweav排版,写asp代码,熟练photoshop处理图片,打好基础就行了 接下来就不能纸上谈兵了,最好的方法其实是实践。实践,只能算是让你掌握语言特性用的。而提倡做实际的Project也不是太好,因为你还没有熟练的能力去综合各种技术,这样只能使你自己越来越迷糊。 它可通过内置的组件实现更强大的功能,如使用A-DO可以轻松地访问数据库。 我可以结合自己的经验大致给你说一说,希望对你有所帮助,少走些弯路。 ASP也是这几种脚本语言中最简单易学的开发语言。但ASP也是这几种语言中唯一的一个不能很好支持跨平台的语言。 因为ASP脚本语言非常简单,因此其代码也简单易懂,结合HTML代码,可快速地完成网站的应用程序。 下面简单介绍一下我学习ASP的方法,希望对想学习ASP的朋友有所帮助... 尽管MS自己讲C#内核中更多的象VC,但实际上我还是认为它和Java更象一些吧。首先它是面向对象的编程语言,而不是一种脚本,所以它具有面向对象编程语言的一切特性,比如封装性、继承性、多态性等等,这就解决了刚才谈到的ASP的那些弱点。 运用ASP可将VBscript、javascript等脚本语言嵌入到HTML中,便可快速完成网站的应用程序,无需编译,可在服务器端直接执行。容易编写,使用普通的文本编辑器编写,如记事本就可以完成。由脚本在服务器上而不是客户端运行,ASP所使用的脚本语言都在服务端上运行。 掌握asp的特性而且一定要知道为什么。 Application:这个存储服务端的数据,如果不清除,会直到web应用程序结束才清除(例如重启站点) 还有如何才能在最短的时间内学完?我每天可以有效学习2小时,双休日4小时。 我想问如何掌握学习节奏(先学什么再学什么)最好详细点? ASP(ActiveServerPages)是Microsfot公司1996年11月推出的WEB应用程序开发技术,它既不是一种程序语言,也不是一种开发工具,而是一种技术框架,不须使用微软的产品就能编写它的代码,能产生和执行动态、交互式、高效率的站占服务器的应用程序。 如何更好的使自己的东西看上去很不错等等。其实这些都不是问题的实质,我们可以在实践中不断提升自己,不断充实自己。
页:
[1]
2