网站开发中Microsoft.Security.Application的使用

网站开发中程序员要特别处理安全事件,网站安全过滤程序是每个程序员的基本知识,如果你给客户做的网站有漏洞不安全会导致客户资料泄露,重者会造成经济损失。

网站漏洞介绍之:xxs脚本跨站漏洞关于微软安全组件Microsoft.Security.Application的使用。

搜遍百度也没有找到简单易用的中文说明文档。今天肥城网站建设公司肥城龙山网络管理员,给做网站的程序员们介绍下这个英文组件如何使用。

首先是 组件的下载地址:http://www.microsoft.com/en-us/download/details.aspx?id=28589

组件下载后有2.0 3.5 4.0针对不同的.net 版本。针对你的开发环境用哪一个都行。

第一步引用:using Microsoft.Security.Application;

第二步使用环境举例:

这里写图片描述

们可以在英文说明帮助中看到提供三个类:Encoder Sanitizer UnicodeCharacterEncoder

我们常用的是第一个和第二个

Encoder 类提供很多方法,是过滤html和css js xml等的各种方法

=================================

举例1

string str = “http://www.longshannet.com/’ title=’肥城网站建设’>肥城网站建设龙山网络“;
// Response.Write(Sanitizer.GetSafeHtml(str));
Response.Write(Encoder.UrlEncode(str));

输出结果为:http://www.longshannet.com/’ title=’肥城网站建设’>肥城网站建设龙山网络
也就是说原文输出,并没有起到html标记的样式,当做一个纯文本输出了,这样很好的防止了脚本攻击。

还有比如:Encoder.UrlEncode()方法可以转义成字符,以至于不会允许脚本。

===========================

举例2:Sanitizer 类是 消毒作用,就是去掉危害的代码比如:文本中带

比如: Response.Write(Sanitizer.GetSafeHtml(str));

结果是:


肥城网站建设龙山网络

为什么结果还带个html body呢,因为这个方法是以单独的html页面输出的,如果不需要输出单独的页面,那么可以用

这个方法 Response.Write(Sanitizer.GetSafeHtmlFragment(str)); 片段输出方法。

============================================


原文转载:http://www.longshannet.com/news293.aspx

阅读更多
上一篇服务器远程连接端口号修改
下一篇chrome打不开网页显示ERR_NAME_NOT_RESOLVED错误的解决方法
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭