0
因此,我設置了我的表單驗證,輸入,錯誤消息等等,然後意識到我收集的很多信息需要在某個時候再次輸出。正確處理用戶輸入
所以我包裹着我的投入在:
Server.HtmlEncode(txtbox.text);
還有什麼我應該做的,以確保我避免XSS類型的攻擊?當我將數據寫入頁面時,我應該做些什麼嗎?
Q
正確處理用戶輸入
A
回答
1
從安全角度來看,我們的Web表單是裸體且100%易受攻擊的。我們需要看數據傳遞給他們,並測試適當的所有方式:
* Form Fields
* URL Query Strings
* Cookies
* Database
* ViewState
的安全Web應用程序MSDN設計準則: http://msdn.microsoft.com/en-us/library/aa302420.aspx
微軟反跨站點腳本庫: http://msdn.microsoft.com/en-us/security/aa973814.aspx
代碼分析工具(CAT.NET): http://www.microsoft.com/downloads/details.aspx?FamilyId=0178e2ef-9da8-445e-9348-c93f24cc9f9d&displaylang=en
ASP.NET數據輸入弗吉尼亞州lidation: http://www.codersbarn.com/post/2008/11/01/ASPNET-Data-Input-Validation.aspx:
編輯: 即將推出,新的Web防護庫CTP: http://blogs.msdn.com/securitytools/archive/2009/10/17/web-protection-library-ctp-release-coming-soon.aspx
1
我建議,當你輸出數據到頁面,而不是當你收集它的HTMLEncode。 From Stack Overflow podcast #58:
不要HTML編碼存儲在數據庫中的數據!以good advice of Damien Guard和Joel Spolsky!您可以選擇存儲這兩種表示,但不要只存儲HTML;以最高級別的精度處理原始數據。
鏈接
相關問題
- 1. 不正確處理用戶輸入
- 2. 批處理文件輸入驗證 - 確保用戶輸入正確的格式
- 3. 如何正確處理Java中的用戶輸入?
- 4. 正確處理輸入更改事件
- 5. 用戶輸入處理
- 6. 處理用戶的輸入?
- 7. 用戶輸入處理postgresql
- 8. 處理用戶輸入
- 9. 處理用戶輸入(Mathmatical)
- 10. 用於測試Webform中用戶輸入的正確處理的工具
- 11. 使用歸併處理用戶輸入
- 12. 用拉斐爾處理用戶輸入
- 13. 我應該如何讓我的程序正確處理所有用戶輸入?
- 14. 使用異常處理獲取正確的文件輸入
- 15. Java用戶輸入錯誤處理
- 16. 處理用戶輸入的Java異常
- 17. Python用戶輸入錯誤處理
- 18. 處理用戶輸入時ArrayList IndexOutOfBoundsException
- 19. 用戶輸入最大長度處理
- 20. C++用戶輸入和錯誤處理
- 21. 警報不處理用戶輸入
- 22. 在後臺處理用戶輸入
- 23. 用戶輸入未得到處理
- 24. 如何處理html用戶輸入Django?
- 25. SQL * Plus用戶輸入異常處理
- 26. 用戶輸入處理模式
- 27. 處理用戶輸入錯誤
- 28. Twilio IVR用戶輸入處理問題
- 29. Given-When-Then當處理用戶輸入
- 30. 用戶輸入字符串處理
HTTP://msdn.microso ft.com/en-us/library/ms998274.aspx特定於.NET 1.0/2.0 XSS – Mark 2009-11-04 01:31:20
這裏是一個很好的備忘單 http://ha.ckers.org/xss.html 也可以在這裏閱讀Jeff的帖子 http://blog.stackoverflow.com/2008/06/safe-html-and-xss/ – iJK 2009-11-04 01:54:22