1. 首頁
  2. 問答
  3. XSS減緩HTML/VBScript中/經典的ASP

XSS減緩HTML/VBScript中/經典的ASP

2011-10-26 87 views
0

我在我的網頁代碼面臨以下假設的XSS漏洞:XSS減緩HTML/VBScript中/經典的ASP

原代碼:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>

遭到黑客攻擊代碼:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>

我能減輕這隻需將HTMLEncode添加到值字段中的會話變量?
謝謝。

來源

2011-10-26 Raven13

回答

1

沒錯。您需要對所有插入到HTML中的文本進行HTML編碼。

您還需要對任何插入到Javascript代碼的文本進行Javascript編碼,並且您需要對插入到URL中的任何文本進行URL編碼。

來源

2011-10-26 19:59:32 SLaks

+0

他們應該在使用HTMLEncode之前檢查該值是否爲空。 –

+0

HTMLEncode方法的放置不重要,對嗎?換句話說,帳號可以在頁面上更高地編碼,而不是特別在輸入標籤內? – Raven13

+0

無論您在哪裏創建字符串,字符串都是字符串。只要確保你知道什麼是編碼在哪裏。 – SLaks

相關問題

 相關問題