6
在"How To: Prevent Cross-Site Scripting in ASP.NET"中的步驟1的註釋中指出,您應該「不要依賴ASP.NET請求驗證,除了您自己的輸入驗證外,還應將其視爲額外的預防措施。」爲何XSS預防不足ValidateRequest =「true」?
爲什麼不夠?
A
回答
2
首先,黑客總是想出新的攻擊和插入XSS的新方法。 ASP.NET的RequestValidation只有在ASP.NET新版本發佈時纔會更新,因此如果有人在ASP.NET發佈RequestValidation後的第二天提出新的攻擊,它將無法捕獲它。
這(我相信)是AntiXSS項目出現的原因之一,所以它可以有一個更快的發佈週期。
2
只有兩個提示:
應用程序可能輸出用你的ASP.NET表單中輸入的不僅是數據。想想網絡服務,RSS源,其他數據庫,從用戶上傳中提取的信息等。
有時需要禁用默認(有效但過於簡單)的請求驗證,因爲您需要接受表單中的尖括號。想想一個所見即所得的編輯器。
相關問題
- 1. XSS預防playframework1.2.4
- 2. Magento Xss預防
- 3. XSS預防PHP
- 4. Android內存不足預防
- 5. Ruby on Rails和XSS預防
- 6. PHP XSS預防白名單
- 7. ESAPI for XSS預防不起作用
- 8. 繞過asp .net「validaterequest」存儲xss攻擊
- 9. GWT干擾XSS預防措施
- 10. 以正確的方式預防XSS
- 11. 預防XSS攻擊的新方法
- 12. Apache Commons StringEscapeUtils vs JSoup XSS預防?
- 13. XSS預防,整潔vs淨化器?
- 14. 開源的XSS預防腳本
- 15. validateRequest = true和requestValidationMode =「4.0」讓html通過
- 16. PHP防止xss
- 17. 預防或預測內存不足異常
- 18. htmlspecalchars中的html值屬性是否足以防止xss?
- 19. XSS和Flashvars有什麼可能?如何預防它?
- 20. 任何所見即所得編輯器與XSS攻擊預防?
- 21. XSS攻擊防範
- 22. 用PHP防止XSS
- 23. XSS攻擊防護
- 24. 用strip_tags()防止XSS?
- 25. 量角器:預期[true,true]爲真
- 26. ASP.NET中用於ValidateRequest的XSS觸發器的完整列表
- 27. 如何防止反射XSS爲Java對象
- 28. XSS預防傳遞給JS代碼文件參數
- 29. 是否存在Java對應的Aspnet 4的<%: %> XSS預防?
- 30. XSS預防:客戶端還是服務器端?
+1爲AntiXss提及,大家應該使用。 – slugster 2010-04-01 10:54:38