目录介绍：

• 1、微软次世代主机:XSS 和 XSX 该怎么选择?
• 2、xss已经禁用仍打不开页面
• 3、后台登录地址存在XSS漏洞.怎么解决
• 4、xss能玩神秘海域吗?
• 5、xss劫持的cookie是当前网站的吗，？
• 6、几种极其隐蔽的XSS注入的防护

微软次世代主机:XSS 和 XSX 该怎么选择?

微软次世代主机：XSS和XSX选选XSS。

选XSS，在日本Xbox玩家新增速度飞快，XSS也成为了他们的上上之选。

微软之前也说过XSS除了比XSX分辨率低一点，其他方面没有什么差别，之前也有不少网友质疑过这件事，认为Xbox在日本不会得到快速的发展，而现实的日本玩家还是很偏重于理性的，性能到位Xbox得到了不少日本玩家的认可。

对功能与XSX差不多但更加小巧的XSS来说，日本玩家更是喜欢，Xbox的Hinton（亚洲区负责人）在接受日本IGN采访时也表示：“他们以后会增加XSS的产量来满足日本玩家”。

相关资料

而日本游戏的开发者也有不少加入到XBOX里来，总体看来在日本XSS的局势已经非常明朗，当地负责人已经有了明确的增产意图（谈过），那么什么样的玩家更适合入手XSS呢？XSS没有光驱，并且是2K分辨率的，如果你家显示器是2K分辨率那你选XSS没错。

如果是4K的XSX更好一些，假如你是个铁杆玩家，玩游戏喜欢随身携带，那你的首选还是XSS，因为它被网友称为目前Xbox里的“胶囊主机”，跟高配版体积小了60%，戴上XSS勇闯天涯也是一种不错的体验。并且价位上也很有优势，2000多米，对很多想玩大场面游戏但是“囊中羞涩”的学生党来说是个福音，当初PS1索尼的一句：299也是开创了一个PS的时代，所以性价比高还便宜也是一张王牌。

xss已经禁用仍打不开页面

计算机的浏览器无法打开网页，这意味着可能有几个问题。

第一个问题是最简单的。可能你的电脑没有连接到互联网。走到电脑的右下角，看看它是否已连接。如果计算机正在使用无线网络，请查看计算机屏幕右下角是否有一个小的无线信号图标。看连接是否正常。

第二个问题可能是您的浏览器设置。你看你的浏览器，输入一个百度地址，点击回车，看看能不能发出去。

换句话说，我们经常测试浏览器是否能打开一个网页地址，也就是百度的主页。百度网.如果百度的网页不出来。这意味着您的浏览器可能需要重新安装。如果你连试都试不到。嗯，我在考虑你的电脑是否可以重新启动并重新连接到网络。如果那不起作用。我们建议您找专业的电脑维护人员，或者找您的网络运营商。

后台登录地址存在XSS漏洞.怎么解决

试试腾讯电脑管家，它的漏洞补丁全部是从微软获取的，而系统漏洞一直是黑客们感兴趣所在，他们可以根据漏洞信息制作可利用这些漏洞的病毒木马，并发布在网络上，或加入到网页代码中，你只要稍有不慎就会中招。而他们一般也会在微软发布漏洞信息的当天就会去查看，而且只需几小时便能制作出病毒木马。

xss能玩神秘海域吗?

不能。

神秘海域是索尼独占游戏，只能够在PS主机上玩，而微软平台自然是不能玩的。独占游戏也是主机游戏的一大竞争优势，让玩该游戏的玩家只能去索尼。

《神秘海域》（英文：Uncharted）是SCE发行的动作冒险游戏系列，主要由SCE旗下顽皮狗工作室制作。另有一部PlayStation VITA平台的作品由Bend Studio制作。

游戏设定在原始丛林、热带雨林、沙漠腹地、雪山高原、古代遗迹等地，以电影方式呈现。主人公内森·德雷克要面对各种各样的敌人，最终找到宝藏。

xss劫持的cookie是当前网站的吗，？

截取的是你的网站的

xss真正的原理是将代码插入到某个网页里面，当浏览器访问这个网页的时候，就会执行你写的代码。如果这个代码具有获取cookies的功能，即可获得当前页面的cookies

然而不同的网站cookies是不同的，也是不允许互相访问的。这就要求你必须把xss代码插入到当前页面里面，并且能成为目标页面中的一部分代码被浏览器执行，这样才能成功获取对方的cookies（这样子程序是在对方网站的页面里面执行的，当然截取的就是对方网站的cookies）。而不是写一个连接，让别人打开你的网页（这样子程序就是在你的页面里面执行的，当然没啥效果）

qq邮箱的xss越来越少了，要知道腾讯的技术人员不是白吃饭的。想要xss不一定非要对qq邮箱下手，如果能在别的分站里面找到xss不一样是照打不误么？qq的页面那么多何必困在qq邮箱里面呢~

几种极其隐蔽的XSS注入的防护

XSS注入的本质

就是: 某网页中根据用户的输入, 不期待地生成了可执行的js代码, 并且js得到了浏览器的执行. 意思是说, 发给浏览器的字符串中, 包含了一段非法的js代码, 而这段代码跟用户的输入有关.

常见的XSS注入防护, 可以通过简单的 htmlspecialchars(转义HTML特殊字符), strip_tags(清除HTML标签) 来解决, 但是, 还有一些隐蔽的XSS注入不能通过这两个方法来解决, 而且, 有时业务需要不允许清除HTML标签和特殊字符. 下面列举几种隐蔽的XSS注入方法:

IE6/7 UTF7 XSS 漏洞攻击

隐蔽指数: 5

伤害指数: 5

这个漏洞非常隐蔽, 因为它让出现漏洞的网页看起来只有英文字母(ASCII字符), 并没有非法字符, htmlspecialchars 和 strip_tags 函数对这种攻击没有作用. 不过, 这个攻击只对 IE6/IE7 起作用, 从 IE8 起微软已经修复了. 你可以把下面这段代码保存到一个文本文件中(前面不要有空格和换行), 然后用 IE6 打开试试(没有恶意代码, 只是一个演示):

+/v8 +ADw-script+AD4-alert(document.location)+ADw-/script+AD4-

最容易中招的就是 JSONP 的应用了, 解决方法是把非字母和数字下划线的字符全部过滤掉. 还有一种方法是在网页开始输出空格或者换行, 这样, UTF7-XSS 就不能起作用了.

因为只对非常老版本的 IE6/IE7 造成伤害, 对 Firefox/Chrome 没有伤害, 所以伤害指数只能给 4 颗星.

参考资料:UTF7-XSS不正确地拼接 JavaScript/JSON 代码段

隐蔽指数: 5

伤害指数: 5

Web 前端程序员经常在 PHP 代码或者某些模板语言中, 动态地生成一些 JavaScript 代码片段, 例如最常见的:

var a = '?php echo htmlspecialchars($name); ?';

不想, $name 是通过用户输入的, 当用户输入a’; alert(1); 时, 就形成了非法的JavaScript 代码, 也就是XSS 注入了.

只需要把上面的代码改成:

var a = ?php echo json_encode($name); ?;

去掉单引号, 利用 PHP 的 json_encode() 函数来生成表示字符串的字符串. 这样做是因为,

最好用 json_encode() 函数来生成所有的 JSON 串, 而不要试图自己去拼接

. 程序员总是犯这样的错误: 自己去解析 HTTP 报文, 而不是用现成的成熟的库来解析. 用 json_encode() 的好处还在于, 即使业务要求我要保留单引号时, XSS注入也可以避免.

隐蔽指数最高级, 伤害所有的通用浏览器

. 这种 XSS 注入方式具有非常重要的参考意义.

最后, 根据工作中的经验, 以及我自己和别人犯过的错, 我总结出一个定理: 没有一劳永逸的单一方法可以解决所有 XSS 注入问题.

有用的经验:输出 HTML 代码时 htmlspecialchars输出JavaScript 代码时 json_encode

输入过滤应该用于解决业务限制, 而不是用于解决 XSS 注入(与严进宽出的原则相悖, 所以本条值得讨论)讨论:上文提到的经验第3条, 是一种宽进严出的原则, 和严进宽出原则是相悖的. 其实, 我认为不应该把严进宽出作为一条伪真理, 好像除了它其它的说法都不对了似的. 宽进严出和严进宽出应该具有完全相等的地位, 根据实现的成本进行取舍.

例如, 用户的名字可以采用严进宽出原则, 不允许用户填写单引号, 大于号小于号等. 但是用户的签名呢? 难道就不能填单引号?