0
在我们的应用程序中,我们有一个类GlobalPage.cs这个页面继承自Page我们有页面加载覆盖等。它被称为我们的注意力,我们需要添加一些安全性,我们的网页包含文本框(一些是ASP文本框和其他人是HTML输入)。我们想要做的是能够从一个地方全局检查所有这些字段,而不是在每个页面上单独执行。我们如何才能实现,可能使用GlobalPage.cs?全局跨站点脚本操作
我将不胜感激任何意见或帮助。
A
回答
1
已经有一些内置的保护免受恶意输入。确保你没有关掉它。
<pages validateRequest="true"...>
传入值本身不是XSS的问题。它会导致出现问题的非转义值。所以,虽然消毒输入有点用处,但不能替代正确的输出编码。
考虑阅读有关ASP.Net中XSS保护的现有信息,如How To: Protect From Injection Attacks in ASP.NET(2.0,请注意,4.0 - ASP.NET Request Validation中有更改)。
+0
你好,是啊,我已经经历了这一切,我们已经启用了一切,但仍然有一些输入,asp.net没有检查,我可以在电子邮件输入这个“[email protected]”onMouseOver = alert( 222)//然后我将鼠标悬停在由它生成的链接上弹出 – user1416156 2012-07-12 18:22:48
+0
@ user1416156,因此您已经在代码中对“输出的正确编码”进行了评论和修复,仍然存在问题?听起来很奇怪。无法验证输入的方式,以便在根据输入值呈现HTML时,HTML呈现代码的所有可能的变体都不会导致XSS错误 - 您必须*正确*转义所有来自用户输入的值,无例外或这个捷径。 – 2012-07-12 18:32:56
+0
基本上我们有asp验证和一些文本框验证输入,但显然有一些缺少验证,所以我想在全局页面中创建一些东西来检查任何javascript或html标记或攻击的输入 – user1416156 2012-07-12 18:37:49
相关问题
- 1. 跨站点脚本
- 2. 跨站点脚本
- 3. 跨站点脚本?
- 4. 避免跨站点脚本
- 5. document.domain和跨站点脚本
- 6. 跨站点脚本预防
- 7. htmltextwriter和跨站点脚本
- 8. 跨站点脚本表单
- 9. 跨站点脚本帮助?
- 10. 微软反跨站点脚本库
- 11. 防止PHP中的跨站点脚本
- 12. GWT -xss(跨站点脚本)演示
- 13. 防止XSS(跨站点脚本)
- 14. Fortify跨站点脚本:验证不佳
- 15. 跨站点脚本 - Cookie加密
- 16. 从图像中跨站点脚本
- 17. OWASP跨站点脚本规则?
- 18. 跨站点脚本 - 隐藏表单域
- 19. 消除跨站点脚本的方法
- 20. 防止跨站点脚本在wtrealm
- 21. 脚本URL跨站点混淆
- 22. CheckMarx - 跨站点脚本攻击
- 23. 跨站点脚本错误捕获
- 24. 跨站点脚本攻击,麻烦
- 25. JavaScript中的跨站点脚本编制
- 26. JavaScript - 跨站点脚本和父窗口
- 27. 跨站点脚本攻击(xss)攻击
- 28. 如何执行跨站点脚本(XSS)
- 29. 在网站上全局加载脚本
- 30. 如何使用跨站点脚本的JQuery制作ajax?
什么样的检查?你如何想象这个工作? – Oded 2012-07-12 18:09:28
我想象一下,说任何人在mypage.aspx中输入somethign,所以它必须通过加载或提交过程来击中GlobalPage.cs,所以我想检查来自这一个地方的某些输入,检查html等标签。并编码它们。 – user1416156 2012-07-12 18:12:38
您可以在基础页面上覆盖'page_load'并检查表单元素是否有效,但这可能会使事情减慢很多。 – Oded 2012-07-12 18:13:36