我是xss-proofing我的网站的JavaScript和xss攻击。它是用ASP.NET Webforms编写的。防止Javascript和XSS攻击
我想测试的主要部分是一个带有文本框(附带有tinyMCE)的用户控件。
用户可以通过在此文本框中写入故事到网站。我必须将validateRequest
设置为false,因为我想在HMTL(tinyMCE)中获取用户的故事。
我应该如何防止javascript-xss攻击?由于用户的故事是HMTL文本,因此他们的故事不能使用Server.HtmlEncode
。一般来说,接收用户的HTML内容的安全方式是什么,保存并显示给用户?
如果一个用户在文本框中放入恶意代码并提交它,这是否有可能会损害其他查看该文本的人?
谢谢。
很好的问题。我不认为一个答案会为这个问题提供正当理由。在一个无关的方面注意你的验证码已过期(两年前更新)。请尝试谷歌的[recaptcha](http://www.google.com/recaptcha)。 – naveen
它也不会伤害也阻止SQL注入攻击。 – Tim
@Tim:EF小心照顾 – Kamyar