PagesSection.ValidateRequest是否足以阻止asp.Net中的XSS
在asp.net中,PagesSection.ValidateRequest方法足以阻止所有XSS攻击,还是需要做更多的事情?
任何人都可以指向我专门针对asp.net这个主题的更全面的资源,因为谷歌主要返回MSDN文章,我想验证我们做得还不够. 解决方法
AntiXSS库
Microsoft AntiXSS library是ASP.Net的一个很好的解决方案.它使用白名单(黑名单)方法,似乎由Microsoft定期更新. 最新下载(截至本文):http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=28589 AntiXSS支持文本和HTML样式验证. HTML验证确实允许可能不合需要的内容(例如另一个域中的图像). 它要求您通过库运行每个输入值,这将产生额外的(尽管很简单的)代码. using System; using Microsoft.Security.Application; public class AppText { public static string GetSafeHtml( string inputText ) { return Sanitizer.GetSafeHtmlFragment( inputText ); } public static string GetSafeText( string inputText ) { return Microsoft.Security.Application.Encoder.HtmlEncode( inputText ); } } 优点 手动验证每个输入可确保您不会假设安全性仅由ASP.Net请求验证“处理”.它还使您可以根据需要灵活地禁用请求验证(请求中存在可疑字符的合法情况).因为您使用AntiXSS库显式验证输入,所以您可以在请求中允许字符/标记. 一般XSS信息 https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- ASP.NET页面创建的事件序列
- ASP.NET Core中的缓存[1]:如何在一个ASP.NET Core应用中使
- asp.net – 在Web.config更改后程序集不可用
- asp.net-mvc – 使模型绑定适用于没有默认构造函数的模型
- asp.net-mvc – 如何在ASP.NET MVC控制器中读取GlobalResou
- asp.net核心 – ASP.Net MVC 6中使用Tag Helpers的优点是什
- 一步一步创建ASP.NET MVC5程序[Repository+Autofac+Automap
- asp.net – Internet Explorer中的图像加载超时
- asp.net-mvc-4 – 值“(字符串)”无效
- ASP.NET 清除模式窗口数据缓存的操作方式
- asp.net – 401客户端’协商’,服务器’协商,NTL
- 使用名为“PropertiesController”的控制器的ASP
- asp.net – 终止所有会话,然后是应用程序结束事件
- asp-classic – 在经典ASP中检测字典对象
- 将生产服务器从ASP.NET 2升级到ASP.NET 4
- asp-classic – 检查VBScript中是否存在Object
- asp.net-mvc – 无法更改关系,因为一个或多个外键
- asp.net – IIS – 无法通过ip地址而不是本地主机
- asp.net – FF和IE不从CSS加载img src
- 如何在Asp.Net页面中包含Javascript文件