1. 跨站脚本(XSS)
1.1 介绍
1.1.1 被动注入,利用输入html,javascript 等信息伪造链接,图片等使用提交信息,调转页面等
1.1.2 主动注入,黑客主动参与攻击,不会傻等倒霉的用户上钩
1.2 防御
1.2.1 HTML 编码
Html.Encode
1.2.2 HTML 属性编码
Html.AttributeEncode
1.2.3 url 编码
URL.Encode
1.2.4 java script 编码
Ajax.JavaScriptStringEncode
1.2.5 CSS 编码
1.3 使用AntiXSS的NuGet包
install-package AntiXSS
1.3.1 AntiXss使用的是白名单,而asp.net默认是黑名单,着用AntiXSS的安全性比ASP.NET 高
1.3.2 AntiXss注重安全漏洞, asp.net注重HTML页面的不被破坏
1.3.3 使用
@using Microsoft.Security.Application
@Encoder.JavaScriptEncode();
2.请求伪造(CSPF)
2.1 介绍
在网站上通过图片链接等伪造银行等机构的请求(混淆代理),例如现在很多银行用的get 请求,url 会在地址栏上显示,这就给了黑客机会,黑客可以通过任何吸引你的内容,让你点击,伪造相同的请求发给银行,正好你银行在登陆状态,就可以转账盗取金钱。
2.2 令牌验证<