那些遇到过的问题

防止在HTML中保存恶意客户端脚本的最佳做法

Nic*_*ick 2 html javascript asp.net

我们有一个ASP.NET自定义控件,允许用户输入HTML(类似于富文本框).我们注意到用户可能会<script>在HTML视图中的标记内注入恶意客户端脚本.我可以在保存时验证HTML代码,以确保删除任何<script>元素.

这就是我需要做的吗?标签以外的所有其他标签是否<script>安全?如果你是攻击者,你还会尝试做什么?

我需要遵循的任何最佳实践?

编辑 - 为了我的目的,MS反Xss库与本机HtmlEncode有何不同?

Ode*_*ded 6

XSS(跨站点脚本)是一个很难解决的难题.

而不是黑名单列出一些标签(并且缺少一些可能受到攻击的方式),最好决定一组对您的网站没问题且只允许它们的标签.

这本身是不够的,因为你必须捕获攻击者可能尝试的所有可能的编码,并且还有其他攻击者可能会尝试的东西.有一些反xss库可以帮助 - 是微软的一个.

有关更多信息和指导,请参阅此OWASP文章.

归档时间:

查看次数:

440 次

最近记录:

16 年,1 月 前
相关归档
滚动到div的底部? 753
在JavaScript中切换字符串匹配的语句 179
长期在JavaScript? 111
序列包含多个元素 105
自2012年6月12日起,"undefined"随机附加在我网站上1%的请求网址中 79
多个复选框至少需要1个 26
具有颜色和透明度的CSS图像叠加 18
Gridview中TemplateField中的复选框在回发时丢失 10
如何防止Web服务结果缓存在ASP.NET Web服务中? 10
从.NET Core 2.1降级到.NET 4.7.1时如何使用IApplicationBuilder和IServiceCollection? 10
难疑归档
如何用JavaScript更改元素的类? 2650
如何让Git使用我选择的编辑器进行提交? 2362
家谱软件中的循环 1594
如何调试Node.js应用程序? 1531
单击div到底层元素 1500
Node.js module.exports的目的是什么,你如何使用它? 1397
JavaScript是一种传递引用还是按值传递的语言? 1311
确定两个日期范围是否重叠 1180
jQuery从下拉列表中获取选定的选项 1067
"静态"在C中意味着什么? 1062