asp.net基础-xss发贴漏洞解决方案

最新推荐文章于 2024-10-02 17:07:13 发布
最新推荐文章于 2024-10-02 17:07:13 发布
阅读量1.7k 收藏
点赞数
文章标签: asp.net html object string 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaofayong/article/details/7563290
版权

asp.net基础-xss发贴漏洞解决方案

asp.net基础-xss发贴漏洞解决方案
用户发贴也存在xss的问题.将发贴内容保存到一个文本文件中,示例为降低代码的复杂性不用数据库.
我们可以对请求的数据检测,如果请求数据中有<>等就认为是恶意请求,禁止提交.aspx默认就是采用这种策略,这样做的缺点是如果做的是一个程序员论坛,程序员就无法发表html代码的帖子了,因此更好的处理策略是将用户发表的内容按原样显示出来,而不是以html代码的方法出现,使用
HttpUtility.HtmlEncode就可以将字符串中的</等特殊字符转换为html显示的字符,也就是不把<script>当成定义脚本的标签,而是当成"&lt;script&gt,"p这样可以在页面上直接显示出来的内容.
修改看贴代码,将contect.Response.Write(line+"<hr/>");修改为context.Response.Write(HttpUtility.HtmlEncode(line)+"<hr/>");即可

解决方案:在显示页面的服务器端程序改为
protected void Page_Load(object sender, EventArgs e)
    {
        //Response.Write(File.ReadAllText("c:/5.txt"));
        string s = File.ReadAllText("c:/5.txt");
        Response.Write(HttpUtility.HtmlEncode(s));
        //HttpUtility.HtmlEncode(s)将字符串s中的<>等特殊字符转换为转义符
    }
即可,不过vS201须在 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidationMode="2.0"。示例: <httpRuntime requestValidationMode="2.0" />。设置此值后,可通过在 Page 指令或 <pages> 配置节中设置 validateRequest="false" 禁用请求验证。


yaofayong
关注
ASP.Net防范XSS漏洞攻击的利器HtmlSanitizer
dotNET跨平台
05-05 4047
项目名称:HtmlSanitizer NuGet安装指令:Install-Package HtmlSanitizer 官方网站:https://github.com/mganss/HtmlSanitizer  开源协议:MIT 可靠程度:更新活跃,目前已经是3.x版,成熟靠谱。   1、  什么是XSS漏洞? XSS漏洞又称为“跨站脚本”漏洞,指的是网站对于用户输入的内容不加甄别的原
ASP.NET开发实践系列课程之跨站脚本(XSS)的攻防
weixin_30681121的博客
07-26 346
跨站脚本(XSS)概述跨站脚本Cross-site scripting是最为流行的web安全漏洞之一恶意攻击者往web页面插入恶意html代码,当用户浏览该页时,嵌入其中web里面的html代码回被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动攻击,因为其被动且不好利用,所以许多人常忽略其危害性。原因过度相信客户端数据过分相信动态web技术的安全能力服务器端的安全设置不足用户过于信任网站上的...
ASP.NET MVC 页面使用富文本控件的XSS漏洞问题
weixin_33796177的博客
04-07 214
目前在做的项目存在XSS安全漏洞! 原因是有一些页面使用了富文本编辑框,为了使得其内容可以提交,为相关action设置了[ValidateInput(false)] 特性: [HttpPost] [ValidateInput(false)] public ActionResult MailPreview(FormColle...
【web安全】——XSS漏洞
最新发布
wxh的博客
10-02 1682
DOM被称为文档对象模型,是一个平台和语言的接口,使得程序和脚本可以动态访问和更新文档的内容、结构和样式。DOM本身是一个表达XML文档的标准,HTML文档从浏览器的角度来说就是XML文档,有了这些技术之后,就可以通过js轻松访问到他们。DOM会将XML文件的节点构建成树状结构,以此反应XML文件本身的阶层结构。
asp.net初级 Web原则 xss漏洞
weixin_30730151的博客
05-04 173
1.XSS (Cross-Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。 2. Dom-Based XSS漏洞 威胁用户个体 Stored...
修复XSS跨站漏洞
weixin_30360497的博客
11-03 125
XSS跨站漏洞最终形成的原因是对输入与输出没有严格过滤。 1、输入与输出 在HTML中,<,>,",',&都有比较特殊的意义。HTML标签,属性就是由这几个符合组成的。PHP中提供了 htmlspecialchars()、htmlentities()函数可以把一些预定的字符转换为HTML实体。 &成为&amp; "成为&quot; '...
XSS安全漏洞修复解决方案
热门推荐
hold on the last
06-18 2万+
背景:等保测评公司针对我系统进行了一次渗透测试,并发现存在XSS漏洞,现记录修复过程。 框架:SSM。 全站XSS漏洞风险等级:中危 涉及页面:全站存在内容输入处 漏洞描述:所有模块可以修改内容处存在XSS,填入恶意代码后触发。 修复建议:过滤所有输入内容。(防止恶意弹窗/跨站脚本/过滤敏感字符/违法信息等) 解决方案 列举方案1:写个DispatcherServ...
有关ASP.NET中跨站点脚本(XSS)预防的绝对入门教程
04-11
在提供的"An-Absolute-Beginners-Tutorial-on-Cross-Site-Scrip.pdf"文档中,你可能会学习到更多关于XSS基础知识,包括攻击示例、危害及如何利用ASP.NET进行防御的实例。而"XssSample.zip"可能包含了一些示例代码...
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
09-19
本文将深入探讨*** Web应用程序中常见的网络安全漏洞,并提供相应的解决方案。 首先,跨站点脚本攻击(XSS)是Web应用中最普遍和最危险的漏洞之一。XSS攻击者通常会将恶意的JavaScript代码注入到网站页面中,当其他...
007-Web安全基础3 - XSS漏洞.pptx
10-22
007-Web安全基础3 - XSS漏洞
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案
weixin_34190136的博客
09-19 350
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊 一、跨站脚本攻击(XSS) 跨站脚本攻击的原理 XSS又叫CSS (Cross Site Script...
ASP.NET跨站脚本攻击漏洞修补文件aspx版 v1.0
03-16
跨站脚本攻击漏洞修补文件aspx版,使用方法:1.将App_Code目录拷贝到web根目录   假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。   2.将Global.asax文件拷贝到web根目录   假如已经存在Global.asax文件,那直接复制指定代码到Global.asax看,具体代码请参阅压缩包内的使用说明。 运行环境:
XSS获取cookie和利用方式 (ASP版).txt
12-22
XSS获取cookie和利用方式简单方法
Asp.net安全架构之1:xss(跨站脚本)
weixin_34419321的博客
05-22 392
原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cooki...
XSS跨站脚本攻击漏洞修复技巧
2401_84208172的博客
05-18 1610
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复。
Web安全性测试之XSS
捕风的汉子
08-21 415
From:http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Coo...
ASP.NET Core XSS攻击
dotNET跨平台
12-25 164
1.什么是XSS攻击XSS(Cross-Site Scripting)是一个安全漏洞,黑客可以在用户页面中放脚本(通常JavaScript脚本),当用户加载该页面时黑客的脚本会运行,这时黑客可以窃取cookies和会话的tokens,通过操控DOM来改变网页或者跳转浏览器到另外页面,XSS漏洞通常发生在应用程序的用户输入时没有验证和应用程序输出到页面而没有编码这篇文章主要应用于ASP.NET C...
ASPXSS代码
weixin_30915951的博客
11-10 365
原作是在GitHub上,基于Node.js所写。但是。。ASP的JS引擎跟V8又有些不同。。于是,嗯。。 <% Function AntiXSS_VbsTrim(s) AntiXSS_VbsTrim=Trim(s) End Function %> <script language="javascript" runat="server"> ...
DOM-XSS漏洞挖掘与攻击面全面解析
常见的DOM-XSS漏洞位置包括: 1. URL代入页面: 在页面加载时,某些用户输入字段可能导致URL被恶意注入,如搜索框、表单提交等。攻击者通过构造恶意URL,利用location.href属性获取location.search和location.hash中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值