XSS漏洞
2016-03-18 15:04
190 查看
跨站脚本漏洞
Cross-site scripting
可以对请求的数据做检测,如果请求数据中有<等就认为是恶意请求,禁止提交。aspx默认就是采用这种策略,这样做的缺点是如果做的是一个程序员论坛,程序员就无法发表HTML代码的帖子了,因此更好的处理策略是将用户发表的内容按照原样显示出来,而不是以HTML的方式显示出来。使用HttpUtility.HtmlEncode就可以将字符串中的<、>等特殊字符转换为HTML显示的字符,也就是不把<script>当成定义脚本的标签,而是当成“<script>”这样可以在页面上直接显示出来的内容。 修改看帖代码,context.Response.Write(line + "<hr/>")[/b];修改为 context.Response.Write(HttpUtility.HtmlEncode(line)+"<hr/>");[/b]即可。
Cross-site scripting
可以对请求的数据做检测,如果请求数据中有<等就认为是恶意请求,禁止提交。aspx默认就是采用这种策略,这样做的缺点是如果做的是一个程序员论坛,程序员就无法发表HTML代码的帖子了,因此更好的处理策略是将用户发表的内容按照原样显示出来,而不是以HTML的方式显示出来。使用HttpUtility.HtmlEncode就可以将字符串中的<、>等特殊字符转换为HTML显示的字符,也就是不把<script>当成定义脚本的标签,而是当成“<script>”这样可以在页面上直接显示出来的内容。 修改看帖代码,context.Response.Write(line + "<hr/>")[/b];修改为 context.Response.Write(HttpUtility.HtmlEncode(line)+"<hr/>");[/b]即可。
相关文章推荐
- Java动态代理JDK与Cglib
- 二维码生成(Javascript版)
- 全志A83T camera驱动移植
- android同时控制EditText输入字符个数和禁止特殊字符输入的方法
- UI控件--AutoCompleteTextView
- 线程同步——互斥量
- 矩阵相乘
- 蓝桥杯--sine之舞(VIP)
- 性能测试,负载测试,压力测试有什么区别
- “并发用户数”、“系统用户数”和“同时在线用户数”的计算公式
- ftp自动下载脚本
- session
- [蓝桥]地宫取宝(dp, 记忆化搜索)
- JS实现行选中事件
- Android 的ORM GreenDao
- go源码阅读笔记(math.3)
- CSS之 Px rm rem之区别
- linux的nohup命令的用法
- Linux命令学习总结: file命令
- 2002年 均分纸牌