我有一個webforms應用程序,允許用戶將圖像的URL提交到網站。 這些圖像會在管理控制檯中自行放映,然後在網站上提供給大家看。他們不必提交圖像,它可以是包含圖像的頁面的鏈接。消毒提交的URL
默認情況下,Webforms可以防止惡意輸入,但只有在將javascript注入輸入框時才能防止惡意輸入。所以它會立即拿起像<script type="text/javascript">alert('nasty code');</script>
但不是http://www.nastysite.com/nastyScript.js
,因爲這只是一個url,'可以'是一個有效的圖像。
在管理控制檯中,我列出了所有在datalist控件中的提交,並使用asp:Image控件顯示圖像進行檢查。
如果用戶提交惡意腳本,那麼在管理控制檯頁面呈現時,是否可以在我的瀏覽器中執行此操作?我自己通過編寫一個腳本掛鉤到加載的文檔中來顯示警報,並且沒有任何反應。
我想我應該顯示提交的URL以及呈現它,這樣我可以檢查任何奇怪的提交。
還有一件我關心的問題是,如果我批准來自其他站點的圖像 - 他們以後可以將有效圖像替換爲難看的腳本嗎?如果它在img
標記中,我會假設它不是?
我可以忽略任何潛在的弱點嗎?
謝謝理查德,這有幫助 – Baldy 2011-05-23 09:30:12