asp.net基础-xss发贴漏洞解决方案

最新推荐文章于 2024-09-21 16:56:47 发布
最新推荐文章于 2024-09-21 16:56:47 发布
阅读量1.7k 收藏
点赞数
文章标签: asp.net html object string 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaofayong/article/details/7563290
版权

asp.net基础-xss发贴漏洞解决方案

asp.net基础-xss发贴漏洞解决方案
用户发贴也存在xss的问题.将发贴内容保存到一个文本文件中,示例为降低代码的复杂性不用数据库.
我们可以对请求的数据检测,如果请求数据中有<>等就认为是恶意请求,禁止提交.aspx默认就是采用这种策略,这样做的缺点是如果做的是一个程序员论坛,程序员就无法发表html代码的帖子了,因此更好的处理策略是将用户发表的内容按原样显示出来,而不是以html代码的方法出现,使用
HttpUtility.HtmlEncode就可以将字符串中的</等特殊字符转换为html显示的字符,也就是不把<script>当成定义脚本的标签,而是当成"&lt;script&gt,"p这样可以在页面上直接显示出来的内容.
修改看贴代码,将contect.Response.Write(line+"<hr/>");修改为context.Response.Write(HttpUtility.HtmlEncode(line)+"<hr/>");即可

解决方案:在显示页面的服务器端程序改为
protected void Page_Load(object sender, EventArgs e)
    {
        //Response.Write(File.ReadAllText("c:/5.txt"));
        string s = File.ReadAllText("c:/5.txt");
        Response.Write(HttpUtility.HtmlEncode(s));
        //HttpUtility.HtmlEncode(s)将字符串s中的<>等特殊字符转换为转义符
    }
即可,不过vS201须在 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidationMode="2.0"。示例: <httpRuntime requestValidationMode="2.0" />。设置此值后,可通过在 Page 指令或 <pages> 配置节中设置 validateRequest="false" 禁用请求验证。


yaofayong
关注
ASP.Net防范XSS漏洞攻击的利器HtmlSanitizer
dotNET跨平台
05-05 4025
项目名称:HtmlSanitizer NuGet安装指令:Install-Package HtmlSanitizer 官方网站:https://github.com/mganss/HtmlSanitizer  开源协议:MIT 可靠程度:更新活跃,目前已经是3.x版,成熟靠谱。   1、  什么是XSS漏洞? XSS漏洞又称为“跨站脚本”漏洞,指的是网站对于用户输入的内容不加甄别的原
ASP.NET开发实践系列课程之跨站脚本(XSS)的攻防
weixin_30681121的博客
07-26 337
跨站脚本(XSS)概述跨站脚本Cross-site scripting是最为流行的web安全漏洞之一恶意攻击者往web页面插入恶意html代码,当用户浏览该页时,嵌入其中web里面的html代码回被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动攻击,因为其被动且不好利用,所以许多人常忽略其危害性。原因过度相信客户端数据过分相信动态web技术的安全能力服务器端的安全设置不足用户过于信任网站上的...
WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案
weixin_34190136的博客
09-19 336
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊 一、跨站脚本攻击(XSS) 跨站脚本攻击的原理 XSS又叫CSS (Cross Site Script...
ASP.NET MVC 页面使用富文本控件的XSS漏洞问题
weixin_33796177的博客
04-07 201
目前在做的项目存在XSS安全漏洞! 原因是有一些页面使用了富文本编辑框,为了使得其内容可以提交,为相关action设置了[ValidateInput(false)] 特性: [HttpPost] [ValidateInput(false)] public ActionResult MailPreview(FormColle...
asp.net初级 Web原则 xss漏洞
weixin_30730151的博客
05-04 164
1.XSS (Cross-Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。 2. Dom-Based XSS漏洞 威胁用户个体 Stored...
修复XSS跨站漏洞
weixin_30360497的博客
11-03 120
XSS跨站漏洞最终形成的原因是对输入与输出没有严格过滤。 1、输入与输出 在HTML中,<,>,",',&都有比较特殊的意义。HTML标签,属性就是由这几个符合组成的。PHP中提供了 htmlspecialchars()、htmlentities()函数可以把一些预定的字符转换为HTML实体。 &成为&amp; "成为&quot; '...
Asp.net安全架构之1:xss(跨站脚本)
weixin_34419321的博客
05-22 374
原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cooki...
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
09-19
本文将深入探讨*** Web应用程序中常见的网络安全漏洞,并提供相应的解决方案。 首先,跨站点脚本攻击(XSS)是Web应用中最普遍和最危险的漏洞之一。XSS攻击者通常会将恶意的JavaScript代码注入到网站页面中,当其他...
007-Web安全基础3 - XSS漏洞.pptx
10-22
007-Web安全基础3 - XSS漏洞
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
ASP.NET跨站脚本攻击漏洞修补文件aspx版 v1.0
03-16
跨站脚本攻击漏洞修补文件aspx版,使用方法:1.将App_Code目录拷贝到web根目录   假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。   2.将Global.asax文件拷贝到web根目录   假如已经存在Global.asax文件,那直接复制指定代码到Global.asax看,具体代码请参阅压缩包内的使用说明。 运行环境:
XSS获取cookie和利用方式 (ASP版).txt
12-22
XSS获取cookie和利用方式简单方法
ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
ASP.NET 编程中,XSS 攻击是一种常见的安全威胁,它允许恶意用户将代码植入到提供给其他用户使用的页面中。为防御 XSS 攻击,需要对用户输入的数据进行过滤和sanitization。本文将介绍使用 HtmlSanitizer 库来...
XSS跨站脚本攻击漏洞修复技巧
2401_84208172的博客
05-18 1390
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复。
Web安全性测试之XSS
捕风的汉子
08-21 404
From:http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Coo...
ASP.NET Core XSS攻击
dotNET跨平台
12-25 149
1.什么是XSS攻击XSS(Cross-Site Scripting)是一个安全漏洞,黑客可以在用户页面中放脚本(通常JavaScript脚本),当用户加载该页面时黑客的脚本会运行,这时黑客可以窃取cookies和会话的tokens,通过操控DOM来改变网页或者跳转浏览器到另外页面,XSS漏洞通常发生在应用程序的用户输入时没有验证和应用程序输出到页面而没有编码这篇文章主要应用于ASP.NET C...
ASPXSS代码
weixin_30915951的博客
11-10 351
原作是在GitHub上,基于Node.js所写。但是。。ASP的JS引擎跟V8又有些不同。。于是,嗯。。 <% Function AntiXSS_VbsTrim(s) AntiXSS_VbsTrim=Trim(s) End Function %> <script language="javascript" runat="server"> ...
链表(3)链表的基本操作
最新发布
2302_80782671的博客
09-21 1261
单链表的基本操作主要有;①创建链表;②输出链表;③査我结点;④插入结点,⑤鹏除结点;⑥重组链表。下面分别进行介绍。创建链表是指在程序运行时,进行动态内存分配,创建若千个结点,并把这些结点连接成串,形成一个链表。在进行动态内存分配时,需要使用在(2)介绍的内存管理函数malloc()和 free()。
DOM-XSS漏洞挖掘与攻击面全面解析
常见的DOM-XSS漏洞位置包括: 1. URL代入页面: 在页面加载时,某些用户输入字段可能导致URL被恶意注入,如搜索框、表单提交等。攻击者通过构造恶意URL,利用location.href属性获取location.search和location.hash中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值