1
我在网页上使用了富文本编辑器。 .NET具有防止发布HTML标签的功能,所以我添加了一个JavaScript代码片段来在帖子前改变尖括号和别名字符对。该别名在服务器上用必要的尖括号替换,然后存储在数据库中。抛开XSS,解决这个问题的常见方法是什么? (即是否有更好的方法?)浏览器所见即所得最佳实践
如果您对XSS(跨站点脚本)有任何意见,我相信这将有助于某人。
A
回答
3
实际上有一种方法可以关闭“功能”。这将允许用户发布他们想要的任何字符,并且不需要使用Javascript将字符转换为别名。请参阅disabling request validation这篇文章。这意味着你必须做你自己的验证,但是从你的文章的声音来看,这似乎是你想要做的。您也可以通过关注the instructions here来禁用每页。
1
我的第一条评论是避免使用JavaScript来改变尖括号。绕过这与在浏览器中禁用JavaScript一样简单。几乎所有的服务器端语言都有一些实用的方法,可以将一些HTML字符转换为实体对应的字符。例如,PHP使用htmlentities(),我相信.NET有一个等效的实用方法。一般来说,您可以使用正则表达式代替尖括号,圆括号和双引号,这将为您提供一个安全解决方案。
3
我认为最安全的方法是不允许用户使用您的WISYWIG创建标签。也许使用类似本网站上的降价编辑器或available here.将是另一种方法。
还要保持Page指令ValidateRequest = true,它应该停止在请求中发送标记,您当然需要在出现时处理这个错误。人们将始终能够使用诸如Tamper data之类的Firefox扩展插入请求,但ValidateRequest = true应该至少停止ASP.NET接受它们。
杰夫最近在这里发表了一篇关于XSS攻击的直接文章。它也说明你的cookies只有HttpOnly,这是一种防止cookie被盗的半防御功能。祝你好运!
相关问题
- 1. 最佳ASP.net所见即所得
- 2. ASP.NET Razor就像所见即所得浏览器编辑器
- 3. 最佳实践从浏览
- 4. 最佳所见即所得Java UI编辑器
- 5. 所见即所得vs所见即所得
- 6. JavaScript所见即所得的实现
- 7. 最佳网页版SVG所见即所得
- 8. 在Flex中创建所见即所得的最佳方式?
- 9. 所见即所得编辑器jsp
- 10. 所见即所得编辑器为XUL
- 11. 所见即所得XML编辑器java
- 12. javascript所见即所得HTML编辑器?
- 13. TWIKI所见即所得编辑器
- 14. jQuery + InnovaStudio所见即所得编辑器
- 15. WPF所见即所得编辑器
- 16. jQuery UI所见即所得?
- 17. 所见即所得编码
- 18. 乐谱所见即所得
- 19. 所见即所得在Chrome
- 20. Insert Bootstrap所见即所得
- 21. 所见即所得的JavaScript
- 22. 最佳实践添加到浏览
- 23. 什么是最好的非所见即所得textarea编辑器?
- 24. 在WPF中实现所见即所得的文档编辑器?
- 25. 在浏览器中实现工具提示的最佳实践?
- 26. 适用于固定盒子的最佳JavaScript所见即所得解决方案
- 27. 所见即所得/ PageDown混合?
- 28. 所见即所得的编辑按钮
- 29. Doxygen中的所见即所得
- 30. Asp.net MVC所见即所得EditorTemplate
是的,但Markdown的唯一问题是,它明确*允许* Markdown旁边Markdown ..这使得它相当艰难 – 2008-09-15 04:42:29