19
最近,我注意到,我在我的應用程序中的大洞,因爲我做了一些這樣的:如何避免ASP.Net(MVC)中的XSS漏洞?
<input type="text" value="<%= value%>" />
我知道,我應該使用Html.Encode,但有沒有辦法做到這一點的所有值,而不必須明確地做?
A
回答
22
有幾個方法:
- 使用
<%: %>語法ASP.NET MVC2/.NET 4.0。 (這只是Html.Encode()的語法糖) - 請按照指示laid out by Phil Haack的說明使用Anti-XSS庫作爲ASP.NET的「默認」編碼引擎。
7
在ASP.Net 4.0或更高版本中,始終使用<%:...%>而不是<%= ...%> ...它會爲您編寫HTML編碼。
完成此操作後,爲了安全起見,定期對代碼<%=進行grep相當簡單。
此外,你使用的是Microsoft Anti-XSS library?
9
2
語法HTML編碼
<%:model.something%>在WebForms的語法
它是自動的在剃刀即@ model.something會自動編碼自動無 需要做的任何編碼。
MVC3 HTML Helper方法自動返回編碼的字符串。例如Html.Label將返回編碼字符串
瞭解跨站點腳本
http://thirum.wordpress.com/2013/10/24/how-asp-net-mvc-prevents-cross-site-scriptingxss-attack/
1
潛在危險的HTML標籤:
雖然不是一個詳盡的清單,以下常用的HTML標籤可能允許惡意用戶注入腳本代碼:
<applet>
<body>
<embed>
<frame>
<script>
<frameset>
<html>
<iframe>
<img>
<style>
<layer>
<link>
<ilayer>
<meta>
<object>
攻擊者可以使用諸如src,lowsrc,style和href之類的HTML屬性與前面的標記一起注入跨站點腳本。例如,標籤的src屬性可以是注入源,如以下示例所示。
<img src="javascript:alert('hello');">
<img src="java
script:alert('hello');">
<img src="java
script:alert('hello');">
攻擊者還可以使用該標記通過更改MIME類型來注入腳本,如下所示。
<style TYPE="text/javascript">
alert('hello');
</style>
+0
您可能希望使用白名單方法而不是黑名單方法。還要考慮諸如「onclick」,「onblur」和「onhover」等屬性。 – Fred 2016-06-15 09:49:22
相關問題
- 1. 避免XSS漏洞 - 白名單?
- 2. XSS漏洞
- 3. XSS漏洞
- 4. 如何避免惡意請求漏洞
- 5. XSS中的常見漏洞?
- 6. Struts2的Freemarker的XSS漏洞
- 7. 如何解決JavaScript上的XSS漏洞?
- 8. 如何使用Struts防止XSS漏洞
- 9. 如何利用HTTP頭XSS漏洞?
- 10. 發生XSS漏洞,該如何解決?
- 11. XSS漏洞:<wslite>
- 12. 如何在php中避免「可能的流量控制漏洞」?
- 13. 如何避免Android遊戲中的時鐘漏洞?
- 14. 隨機MySQL行,同時避免漏洞
- 15. 如何避免XSS攻擊
- 16. ASP.NET MVC中的漏洞測試
- 17. PHP腳本中的XSS漏洞
- 18. 如何避免asp.net mvc中的System.Data.Entity.Core.EntityCommandExecutionException?
- 19. 研究人員如何避免套接字漏洞?
- 20. NSURL POST與iOS的XSS漏洞
- 21. 避免SQL Server中的盲注SQL漏洞的最佳做法 - ASP.Net
- 22. 如何防止wordpress站點中的XSS漏洞
- 23. asp.net mvc文件上傳安全漏洞
- 24. XSS漏洞腳本標記編碼
- 25. 解決XSS漏洞問題C#
- 26. 如何在解碼html時避免XSS
- 27. glibc fnmatch漏洞:如何揭露漏洞?
- 28. Scrapy - 如何避免分頁黑洞?
- 29. asp.net mvc避免重複
- 30. 在HTTP GET使用MVC3的AntiForgeryToken避免使用Javascript CSRF漏洞
我們在三秒內回答對方。紐曼,你好。 – 2010-07-08 19:34:33