网页炸弹防范方法

网页炸弹防范方法 　　1.留意微软和各大安全网站发布的安全公告，及时了解最新安全动态，封堵住漏洞，如果没有条件随时关注这些，至少要及时更新你的浏览器，使用最新的、打过各种安全补丁的浏览器； 　　2.安装防火墙和杀毒软件，并及时更新。 　　3.事先备份注册表，如果发现注册表被修改则导回就能恢复； 　　4.将本机的FORMAT、DEL、DELTREE等危险命令改名，如将format.com改为format.old，自己需要使用时再改回来。也可以某些外部命令转移到其他目录下； 　　5.牢记不要浏览那些并不了解的网站，也不要在聊天室里点击其他网友贴出的超级链接，这样可以避免遭到恶作剧者的攻击； 　　6.增强IE“免疫”能力 　　将系统的网络连接的安全级别设置为“高”，它可以在一定程度上预防某些有害的JAVA程序或者某些ActiveX组件对计算机的侵害。在IE属性里面，对其“高级”选项进行配置，取消在浏览网页时的Java功能选项，具体方法是：点击IE的“工具”菜单下的“Internet 选项”，再点击“安全”选项卡里的“自定义级别”按扭1），把“ActiveX控件及插件”和Java相关选项都设为禁用，这样就不怕了。不过，要说明的是这样做在浏览某些网页时会无法正常浏览，如何取舍就看你自己的了。 图 1 　　7.灵活应对WSH 　　由于微软在IE中增加了WSH(Windows Script Host)的运行脚本，WSH(Windows Script Host)是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows桌面或命令提示符下运行。利用WSH，用户能够操纵WSH对象、Active对象、注册表和文件系统。在Windows 2000下，还可用WSH来访问Windows NT活动目录服务。WSH在Internet Explorer 3.0（或以上）提供的Visual Basic Script和Jscript脚本引擎，在带给人们便利的同时，WSH也为病毒的传播留下可乖之机。对于已安装的WSH服务，我们有如下防护措施： 　　A：删除脚本文件。对于Windows 2000和Windows ME，点击“开始”→“程序”→“Windows资源管理器”→“工具”→“文件夹选项”→“文件类型”，把滚动条下移找到VBScript和JScript脚本文件，将其删除。 　　对于Windows 98和Windows NT4.0，点击“开始”→“程序”→“Windows资源管理器”或“Windows NT资源管理器”→“查看”→“选项”→“文件类型”2），将滚动条下移长到VBScript和JScript脚本文件，将其删除。

　　目前网上流行各种各样的炸弹，其中网页炸弹最令人头痛，因为它们会在我们浏览网页时“爆炸”，轻则死机，重则硬盘被格式化！而许多网络新手对此并不是很了解，觉得很神秘，所以很有必要讲一下这个问题，让我们了解最常见的十种网页炸弹，以后你就会对它们见怪不怪，了如指掌了！对于菜鸟来说这也是网络安全进阶第一步！

　　注：本文的目的是让你了解这些网页炸弹的攻击原理以及防御方法，如果有网友乱用这些技术攻击别人，出现的后果请自负。同时，为了保障安全，本文中的一些代码我们使用了*号来代替。

　　同时希望网友加强自己的防范意识，对危险的网页，不要轻易的点击。勤打被丁和升级你的安全工具。

　　一、最无聊的炸弹——死循环代码

　　在网页中加入如下代码，只要有人点击你所发出的链接就会不停地打开IE浏览器，直至你的系统资源消耗殆尽死机为止！此时你唯一能做的就是重新启动计算机！

　　代码如下：＜img src=*******:location="网址文件名.htm;"＞，注：此代码是一个“死循环程序”！属于聊天室炸弹！

　　预防措施：打IE浏览器→工具→Internet选项→安全→Internet→自定义级别，把这里所有ActiveX控件和插件都选中“禁止”，选中之后就不会被恶意代码攻击！因为这是一个ActiveX脚本程序！

　　二、令人心有余悸的炸弹——恐怖的大图片

　　制作原理很简单：在html语言中加入＜img src=“http://恐怖图片的连接地址”width=“1”height=“******************(很大的数字)”＞即可。当你的IE看到次语句，就会不断的解析试图打开，但由于图片实在是太大了，超出了其处理能力，这样你的电脑就只有死机一条路可以走了。

　　三、令你头昏眼花的炸弹——地震死机代码

　　在记事本中输入如下所示代码到＜body＞和＜/body＞之间，然后存为任意名字的.html文件，打开该网页后会你的IE会发生“地震”，让你头昏眼花，接着电脑就会死机！

　　上面这段代码中的＜img src="c:concon"＞会使浏览者电脑死机。这是利用了Windows 9x的设备名称解析漏洞。

　　漏洞说明：Windows 9X的concon设备名称解析漏洞允许用户远程攻击，导致对方Windows 98系统崩溃。当Windows遇到包含设备名的非法路径时，Windows会解析这些路径，此时内核的溢出会导致整个系统出错。

　　漏洞解析：我们知道CON是DOS下的特殊设备名，不允许用做文件名，为什么用CONCON会引起死机呢？我们把系统转到DOS下做个试验就知道了。键入如下命令：copy aa.txt con，系统会显示aa.txt文件的内容，而如果换成：copy aa.txt ＞con，系统会提示文件不能拷贝到文件自身。如果把CON换成LPT或PRN，则输出aa.txt的内容到打印机。由此可见，CON在这里代表了文件的本身，用CONCON这个命令意味着不断调用这个文件自身，使系统资源迅速耗尽而死机。用上面的这个命令只是调用文件自身，速度实在太快，连按Ctrl+Alt+Del键结束的机会都没有。如果在资源管理器中选择的是“按WEB页”查看，那么连预览该网页都会死机！

　　首先只要在链接标签中添加onFocus="if(this.blur)this.blur()"这句代码即可屏蔽点击时四周出现的虚线框，如：

〈A href="http://"onFocus="if(this.blur)this.blur()"〉网页教学网〈/a〉

网页刷新后再点击这个链接，是不是不显示虚线框了！OK，我们继续改造，再一步的工作是删除链接上的底线。在源代码的标签后添加以下三句代码，即可使本页的链接的底线不显示：

〈style type="text/css"〉
A {text-decoration:none}
〈/style〉

　　保存后再打开网页，链接的表现形式是不是只是蓝色文字了！如果还不够，你还可以改变它的颜色，这个很容易实现：在链接文字前添加〈font color="#aa0000"〉这句代码即可使链接文字变成红色。

　　注：读者在拷贝本页示例中代码时请将“〈〉”在网页中换成半角字符“<>”。


你是否正准备织网或者正在织网的路上？如果是，那么有没有感觉到网络上扑面而来的网站建设资源呢？“他山之石，可以攻玉。”个人的精力毕竟是有限的，“引用”也是硬道理。

　　一、引用模板，为你的网站搭架

　　所谓“模板”，就是一个已经基本制作好的HTML网站文件，在网站风格、外观等方面已经比较确定，但在文字、图形、图像、动画内容以及链接等方面留出空隙和余地，填入不同的内容便可形成一个个图文并茂的页面。

　　◆优秀模板网站推介：

　　新浪模板：http://vip.sina.com/cgi-bin/pubtmpl/preview.cgi

　　模板精品店：http://mb.cncss.com/

　　模板天下：http://www.mbsky.com/main.htm

　　建站资源网模板：http://www.chinapsd.com/moban/moban.asp

　　二、引用元素，为你的网站增色

　　网页元素，包括网页背景、线条、图标、图片、动画、音乐等素材，门类繁多。有一些网站专门制作、搜集和整理了一些网页素材，免费提供给大家使用。除了访问这些专门提供网页素材的网站，您还可以处处留心，访问哪一个网站的时候看到了很好的小东东，就可以随手Download下来，整理一下为自己所用。

　　◆ 优秀网页素材网站推介：

　　素材精品屋 ：http://www.sucaiw.com

　　网页素材图库：http://www.dabaoku.com/sucai/index.htm

　　殷都图霸-网页素材大全：http://photo.ayinfo.ha.cn/sucai/

　　好极网GIF动画库：http://www.hooji.com/gifs/

　　心怡坊素材库：http://pugongying.51.net/

　　三、引用代码，为你的网站补血

　　其实，代码也属于网页元素，现在有很多网站都提供免费代码，引用好这些代码，可以为你的网站快速注入新鲜的血液。这些代码按功能可分为：网页特效类、搜索引擎类、计数统计类、新闻系统类、留言论坛类、查询调查类等。结合自己网站的主题和风格，来决定你引用哪些种类的代码，比如有关音乐类的网站可考虑加一个“歌词查询器”，而文学类的可考虑加一个“每日作家简介”，至于计数器、留言本之类的我想每个网站最好都用上。

　　引用代码，应注意两个问题：一是引用信誉好、服务稳定，而且广告少的代码，对于那些使用频繁的服务尤是如此，不要因为代码而影响了你网站的正常运转。二是引用适度，若在网页上大量引用代码，因页面要启动或连接多个站外服务，速度必会受到影响，一般引用两三个就可以了。

　　◆优秀免费代码推介：

　　1．网页特效类

　　网页特效大全：http://www.cn76.com/js/

　　2．搜索引擎类

　　Google搜索: http://www.google.com/intl/zh-CN/searchcode.html

　　百度搜索：http://www.baidu.com/search/code.html

　　新浪搜索：http://cha.sina.com.cn/tools/free_code.html

　　3．新闻系统类

　　亿唐免费新闻：http://home.etang.com/news/

　　中华网免费新闻代码：http://app0.china.com/freecode/freenews.php

　　4．计数统计类

　　天堂免费计数器：http://www.9617.com/search?www.xcinfo.ha.cn/jsq/login.asp

　　太极统计：http://www.9617.com/search?www.textclick.com/

　　5．留言板类

　　青年文摘留言板：http://www.qnwz.org/ly/reg.asp

　　酷辣辣留言板：http://my.coolala.net/

　　6．论坛类

　　中用网论坛：http://www.9617.com/search?club.chinauser.com/my/

　　中国职业玩家联盟：http://www.9617.com/search?www.cpgl.net/service/bbs.htm

　　7．查询类：

　　股票信息查询：http://www.cankao.com/z_free.asp

　　一切从一个糟糕的浏览器开始，它完全不支持 XHTML。

　　什么是 MIME Type？

　　为什么这么说呢？首先，我们要了解浏览器是如何处理内容的。在浏览器中显示的内容有 HTML、有 XML、有 GIF、还有 Flash……那么，浏览器是如何区分它们，绝对什么内容用什么形式来显示呢？答案是 MIME Type，也就是该资源的媒体类型。

　　媒体类型通常是通过 HTTP 协议，由 Web 服务器告知浏览器的，更准确地说，是通过 Content-Type 来表示的，例如:

Content-Type: text/html

　　表示内容是 text/html 类型，也就是超文本文件。为什么是“text/html”而不是“html/text”或者别的什么？MIME Type 不是个人指定的，是经过 ietf 组织协商，以 RFC 的形式作为建议的标准发布在网上的，大多数的 Web 服务器和用户代理都会支持这个规范 (顺便说一句，Email 附件的类型也是通过 MIME Type 指定的)。

　　通常只有一些在互联网上获得广泛应用的格式才会获得一个 MIME Type，如果是某个客户端自己定义的格式，一般只能以 application/x- 开头。

　　XHTML 正是一个获得广泛应用的格式，因此，在 RFC 3236 中，说明了 XHTML 格式文件的 MIME Type 应该是 application/xhtml+xml。

　　当然，处理本地的文件，在没有人告诉浏览器某个文件的 MIME Type 的情况下，浏览器也会做一些默认的处理，这可能和你在操作系统中给文件配置的 MIME Type 有关。比如在 Windows 下，打开注册表的“HKEY_LOCAL_MACHINESOFTWAREClassesMIMEDatabaseContent Type”主键，你可以看到所有 MIME Type 的配置信息。

　　浏览器处理 XHTML 和 HTML 有什么区别？

　　HTML 的语法过于随意了，有许多简写，标记不匹配的复杂情况，同时长期 Web 发展下来积累下来了许多错误的用法——比如一个文档里完全没有 标记——但浏览器还是得支持它，可想而知，为了支持这些“Tag Soup”——也就是我们所说的那些，乱成一锅粥的标签——浏览器要很费力地去猜测一段标记的意思，努力以用户期望的形式表达出来。一句话说，虽然 HTML 4.01 允许你用语义化、结构化的、内容与表现分离的方法来书写标记，但由于它沿袭了 HTML 这种格式，使得浏览器对于凡是 MIME Type 为“text/html”的文件，都得采用一种非常费劲的方法去处理，这对于 Web 的发展是很不利的。

　　再说除了浏览器，还有许多其他的用户代理要阅读 HTML：纯文本的浏览工具、读屏器等等。

　　创造 XHTML，很大一部分原因正是要通过 XML 重新严格地规范一遍标记，让这些用户代理可以以一种更简便的方式来解析这些标记。因此，XHTML 这种新的格式，天生就要求内容的发布者必须以严格的方式来标记自己的文档。

　　当然，XHTML 对于内容提供者也有好处，此处先不展开，详见下文。

　　MIME Type 与之又有什么关系？

　　把前两节的内容合起来，你显然可以发现：一个正常支持 XHTML 的浏览器会根据服务器提供的 MIME Type 是 text/html 还是 application/xhtml+xml 来区分获取到的内容是 HTML 还是 XHTML，对这两种格式，分别以两种不同的方式来解析文档，后者解析起来要严格得多，但对于用户代理开发者和内容提供者都有很大的好处。

　　那么，那些浏览器正常的支持了 XHTML 呢？答案是 Mozilla、基于 Mozilla 的浏览器如 Netscape 7 和 Firefox、较新版本的 Opera 和 Safari 等等。