我需要为ASP.NET 4网站提供额外的XSS安全性吗?
根据我对ASP.NET的作用以及我自己对各种XSS测试的个人测试的理解,我发现我的ASP.NET 4网站不需要任何XSS预防.
您认为ASP.NET 4.0网站是否需要添加XSS安全性而不是默认选项?我无法在我的文本字段中输入任何javascript或任何标记,然后立即将其打印到页面上. 解决方法
免责声明 – 这是基于对“可信输出”的非常偏执的定义,但是当谈到网络安全时,我认为你不会太偏执.
在大多数情况下,如果您从任何来源获取输入并将其输出到HTML,则需要更多保护.这包括从文件,数据库等检索的数据 – 不仅仅是您的文本框.您可以拥有一个完全锁定的网站,让某人通过其他工具直接访问数据库,并能够插入恶意脚本. 即使您从只有受信任的用户能够输入数据的数据库中获取数据,您也不会知道该受信任的用户是否会无意中从网站复制并粘贴某些恶意脚本. 除非您绝对肯定地信任将在您的网站上输出的任何数据,并且没有可能的方法让脚本无意中(或恶意地遇到攻击者或心怀不满的员工)将危险数据放入系统,您应该清理所有输出. 如果您还没有,请熟悉这里的信息:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet 并浏览网站上的其他已知威胁. 万一你想念它,Microsoft.AntiXss库是一个非常好的工具供您使用.除了更好的HtmlEncode函数版本之外,它还具有很好的功能,如GetSafeHtmlFragment(),当你想在输出中包含不受信任的HTML并对其进行消毒时.本文介绍了正确的用法:http://msdn.microsoft.com/en-us/library/aa973813.aspx文章陈旧,但仍然相关. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- 如何设置起始页面在webconfig文件在asp.net c#
- asp.net-mvc – MVC会话过期而不是身份验证
- asp.net – 从global.asax – mvc重定向到一个动作
- 在ASP.NET 5 / Core 1.0开发期间使用完整的IIS
- asp.net-mvc – 使用ASP.New MVC 4 Web Api进行授权过滤依赖
- 经典asp JScript中的重载函数
- asp.net-core – ASP.NET Core 2迁移错误.找不到匹配命令“
- asp.net – 为什么在Visual Studio 2010中禁用“使用自定义
- 如何创建ASP.NET Web场?
- asp.net-mvc – 在ASP.NET MVC中调用Session_End()的时间是
- ASP.NET网站对SQL Server Express实例的连接产生
- asp.net – 我在哪里可以找到丢失的.aspx.vb文件
- asp.net-mvc-5 – ASP.NET标识 – 什么方法创建表
- asp.net – 动态创建的LinkBut??tons的OnClick事
- asp.net – MaintainScrollPositionOnPostback属
- asp.net-mvc – 如何循环使用FormCollection来检
- asp.net-mvc – ASP.NET MVC中的Crystal Reports
- 在ASP.NET 5项目中运行NUnit测试(在VS Test Expl
- asp.net-mvc – MVC Razor – 如何向自己提交表单
- ASP.NET(MVC)服务图像