代码之家 › 专栏 › 技术社区 › tghw megawac

如何避免ASP.NET(MVC)中的XSS漏洞?

xss asp.net-mvc asp.net

tghw megawac · 技术社区 · 14 年前

我最近注意到我的应用程序有一个很大的漏洞,因为我做了如下的事情:

<input type="text" value="<%= value%>" />

我知道我应该用 Html.Encode ,但是否有任何方法可以为所有值执行此操作,而不必显式执行此操作?

5 回复 | 直到 9 年前

George Stocker NotMe 14 年前

有几种方法:

Simon 11 年前

看这个 video 来自斯科特·汉塞尔曼和菲尔·哈克。它们包括XSS、CSRF、JSON劫持,特别是使用ASP.NET MVC。

sven 14 年前

在ASP.NET 4.0或更高版本中,始终使用<%:…%>而不是<%=…%.gt;…它为您进行HTML编码。

这样做之后,作为安全预防措施,定期对代码进行grep<%=是相当简单的。

Thiru 11 年前

HTML编码语法

有关跨站点脚本的详细信息

Brad Larson SHIDHIN TS 9 年前

潜在危险的HTML标记:

虽然不是详尽的列表,但以下常用的HTML标记可能允许恶意用户插入脚本代码:

<applet>
<body>
<embed>
<frame>
<script>
<frameset>
<html>
<iframe>
<img>
<style>
<layer>
<link>
<ilayer>
<meta>
<object>

攻击者可以将诸如src、lowsrc、style和href等HTML属性与前面的标记结合使用,以注入跨站点脚本。例如,标记的src属性可以是注入源,如以下示例所示。

<img src="javascript:alert('hello');">
<img src="java&#010;script:alert('hello');">
<img src="java&#X0A;script:alert('hello');">

攻击者还可以使用标记通过更改mime类型来注入脚本,如下所示。

<style TYPE="text/javascript">
  alert('hello');
</style>

推荐文章

Kevin Cheng · 在CKEditor 4的源代码模式下,如何禁用预览按钮?

7 年前

EZDM · 避免在上使用XSS。使用JQUERY获取JSON

7 年前

Agent Smith · 如何使用ZF2防止XSS?

7 年前

rmeertens · XSS攻击:更改Spring Boot Crudepository中引发的异常?

7 年前

Nikolai · php中的XSS黑名单

8 年前

Lamcee · 如何在img标签的onerror属性上发送http请求?

8 年前

pinkpanther · 仅仅对XSS进行编码(而不是转义)是错误的吗?

8 年前

5argon · 谷歌翻译网站如何在不受跨站点脚本约束的情况下修改网页?

8 年前

vivek · 我们所说的上下文自动转义是什么意思?

8 年前

user2143356 · 这是否易受XSS攻击?

9 年前