存在文本编辑器的页面怎的预防跨站脚本攻击
日期:2014-05-17 浏览次数:20375 次
存在文本编辑器的页面怎样预防跨站脚本攻击
关于存在有文本编辑器的页面如何预防跨站脚本攻击
该类页面的属性必须设为validateRequest="false",才能使用文本编辑器,但是如何在URL使用 HttpUtility.HtmlEncode()来编码,将其中的HTML标签彻底禁止呢?
http://localhost/Page/defalut.aspx?id=<script>alert("xss")</script>&actionid=2
怎样防止在URL上输入HTML标签?
求方法,求代码
------解决方案--------------------
防止是防止不了的,应该从过滤入手
------解决方案--------------------
访站外提交,无非就是验证提交的网页的IP是否与本站的IP一致,要不就加验证码
http://hi.baidu.com/yaming/item/b08266243a71dd50c28d5920
------解决方案--------------------
像你这个id在哪里用到就在哪里处理
js和后台代码只用判断一下id是否为数字就行
------解决方案--------------------
提交按钮的事件中去做判断
------解决方案--------------------
后台接受id 判断id是否合法 合法进行下一步
关于存在有文本编辑器的页面如何预防跨站脚本攻击
该类页面的属性必须设为validateRequest="false",才能使用文本编辑器,但是如何在URL使用 HttpUtility.HtmlEncode()来编码,将其中的HTML标签彻底禁止呢?
http://localhost/Page/defalut.aspx?id=<script>alert("xss")</script>&actionid=2
怎样防止在URL上输入HTML标签?
求方法,求代码
------解决方案--------------------
防止是防止不了的,应该从过滤入手
------解决方案--------------------
访站外提交,无非就是验证提交的网页的IP是否与本站的IP一致,要不就加验证码
http://hi.baidu.com/yaming/item/b08266243a71dd50c28d5920
------解决方案--------------------
像你这个id在哪里用到就在哪里处理
js和后台代码只用判断一下id是否为数字就行
------解决方案--------------------
提交按钮的事件中去做判断
------解决方案--------------------
后台接受id 判断id是否合法 合法进行下一步
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
