那些遇到过的问题

你如何避免ASP.Net(MVC)中的XSS漏洞?

tgh*_*ghw 19 asp.net xss asp.net-mvc

我最近注意到我的应用程序中有一个很大的漏洞因为我做了类似的事情:

<input type="text" value="<%= value%>" />
Run Code Online (Sandbox Code Playgroud)

我知道我应该使用过Html.Encode,但有没有办法为所有值做到这一点,而不必明确地做到这一点?

Geo*_*ker 22

有几种方法:

  • 使用<%: %>ASP.NET MVC2/.NET 4.0中的语法.(这只是语法糖Html.Encode())
  • 按照Phil Haack的说明进行操作,详细说明使用Anti-XSS库作为ASP.NET的"默认"编码引擎.

Bra*_*adB 9

观看Scott Hanselman和Phil Haack的视频.它们涵盖了XSS,CSRF,JSON Hijacking,特别是ASP.Net MVC.

Joe*_*sky 7

在ASP.Net 4.0或更高版本中,始终使用<%:...%>而不是<%= ...%> ...它会为您执行HTML编码.

Scott Gu的解释.

完成后,作为安全预防措施,定期grep您的代码<%=非常简单.

另外,您使用的是Microsoft Anti-XSS库吗?

  • 我们在三秒内回答了他们.你好,纽曼. (4认同)

归档时间:

查看次数:

17242 次

最近记录:

9 年,11 月 前
相关归档
如何在MVC 5项目中实现bootswatch或wrapbootstrap中的主题? 77
无法删除\ bin\roslyn\VBCSCompiler.exe - 访问被拒绝 56
jqgrid与asp.net webmethod和json一起使用排序,分页,搜索和LINQ - 但需要动态运算符 30
对于asp.net中的会话状态模式,哪一个更好,InProc或SQL Server? 23
使用Linq将单个值返回到SQL 14
为什么ResetPasswordAsync不起作用? 14
使用jquery post for mvc 3在部署时无法正常工作 10
跟踪方法执行时间 10
是否可以优化ASP.NET WebForms以像ASP.NET MVC一样快速执行? 9
如何在视图中将MVC模型字符串作为纯文本 8
难疑归档
Python有一个字符串'contains'子串方法吗? 3601
如何删除子模块? 3366
什么是依赖注入? 2984
我遇到了合并冲突.我怎样才能中止合并? 2391
接口和抽象类之间有什么区别? 1705
在单个SQL查询中插入多行? 1604
检索HTML元素的位置(X,Y) 1418
如何在SQL中使用JOIN执行UPDATE语句? 1262
如何获得最近提交的Git分支列表? 1197
在HTML中嵌入PDF的推荐方法? 1128