我目前正在尝试保护我的网站免受 Url 中的 XSS 攻击。例如,如果攻击者使用 Firefox,他们可以执行以下操作
myxsssite.com/mypage.aspx?d"><script class="none&>alert(1);</script clas="none&><!--=1
并且脚本将被运行。我已经搜索了几天,似乎找不到有效的解决方案。目前我已经尝试过 MS 的 AntiXSS 库。我认为它不能正常工作,我正在像这样编码整个 url
Mircosoft.Security.Application.Encoder.HtmlEncode(path);
我也尝试了这个类中的所有其他方法,并且在页面加载之前脚本仍在执行。我将 ASP.net 3.5 与 Webforms 一起使用,但无法升级。