我一直在阅读Anti-XSS Security Runtime Engine,它看起来是一个很好的web表单解决方案,因为它通过反射检查控件,并在适当的地方自动编码数据。然而,由于我并不是真的在MVC中使用服务器端控件,所以对于ASP.NET ASP.NET来说,它似乎不是一个可行的解决方案。这是正确的,还是我漏掉了什么?
浏览 4提问于2009-06-16得票数 15
回答已采纳
2回答
我确实遇到了一些XSS问题,并实现了Anti-XSS Security Runtime Engine (SRE)来自动编码所有html标记。例如:Anti-XSS将其编码为:
<p align="center"> </p我知道它实际上是Anti-<em
浏览 0提问于2011-10-08得票数 0
回答已采纳
在xss中,如果我使用的是ValidatorControls,我还需要使用anti XSS库吗?例如,我正在验证TextBox1是否为电子邮件地址,但我使用的是内置控件。<form id="form1" runat="server">
<asp:TextBox ID="TextBox1" runat="server"></asp:TextBox><<em
浏览 6提问于2016-05-06得票数 0
5回答
我一直在阅读各种注入类型的攻击,似乎摆脱这些漏洞的最好方法是对所有用户输入进行编码,以删除/替换某些字符(< >;等等)。非常感谢
浏览 1提问于2009-04-01得票数 0
回答已采纳
我正在努力确保我的webforms ASP.NET应用程序尽可能安全,它接收用户输入的数据并将其存储到SQL数据库(通常的东西)中,只供登录的用户使用,因此对一般公众是不可用的。通过禁用输入页面的ValidateRequest,我意识到存在被XSS攻击的风险-所有的SQL查询都是参数化的,所以不会被SQL注入(对吗?)。我可以只对输入文本使用HTMLencode而不是使用Anti-XSS库吗?然后我要存储HTMLencoded字符串吗?
还是我看错了?我是否应该逐字存储用户输入,然后在将其输出到浏览器时随时存储HTMLen
浏览 2提问于2013-05-16得票数 7
回答已采纳
我在每个页面上使用ASP.NET 4 MetaKeywords和MetaDescription来设置适当的meta标签。我还使用Anti XSS库作为应用程序中的默认编码器。
浏览 5提问于2011-04-06得票数 2
回答已采纳
考虑到一个可以工作不止一个开发人员的项目,并且需要不断更新和维护,那么考虑到可读性和安全性,下面的两个代码可以被认为是PHP的最佳实践吗?如果我们在表演中讨论,,但是有解决这一点的方法。选项1$pass = $_POST['pass'];
$user = anti_injection($user);
$pass = anti_injection($
浏览 9提问于2012-07-13得票数 2
回答已采纳
1回答
这将不是我的问题的一个非常清楚的解释,但我不知道如何更好地解释它。每次按下按钮时,我都会在网格视图单元格内循环,并获取文本框-and更新数据库的文本。当我第一次按下按钮时,行UniqueID仍然相同,这样我就可以通过FindControl(ID)方法或使用Request.Formtxt.UniqueID找到控件
然而,当我第一次按下按钮后,行ClientId的
浏览 4提问于2011-06-27得票数 1
我试着这样说:在<head>标签中,但一直没有运气。我正在努力摆脱讨厌的IE阻止跨站点搜索
浏览 61提问于2011-01-09得票数 30
回答已采纳
有没有一个全面的.NET超文本标记语言清理器/反Xss库,它也有一个定义的白名单。我知道微软的Anti-Xss是一个很好的起点,但它需要一个允许的html标签和css的白名单。有人知道些什么吗?
浏览 0提问于2010-01-13得票数 8
回答已采纳
5回答
我最近注意到我的应用程序中有一个很大的漏洞,因为我做了一些类似的事情:我知道我应该使用Html.Encode,但是有没有办法对所有的值都这样做,而不必显式地这样做呢?
浏览 1提问于2010-07-09得票数 19
回答已采纳
1回答
我目前只有一个asp.net页面,该页面显示一个网格,其中包含一个带有富文本的单列。这是一个符合逻辑的3层应用程序。bll将一个集合返回给ui以绑定到网格。按照现在的设计方式,使用微软的Anti-XSS库最好的方式是什么,或者甚至是可能的?我需要重新设计吗?
谢谢,罗德。
浏览 0提问于2010-06-24得票数 0
回答已采纳
2回答
在我们的系统中,我们使用ASP.Net WebForms页面。
我们有一个自我注册网页,在我们的系统中,用户可以来注册,开始使用我们的系统。
浏览 2提问于2016-01-25得票数 1
回答已采纳
2回答
function Anti_Sql_Injection($string){
if(ini_get('magic_quotes_gpc') == 'off'){
浏览 5提问于2015-05-08得票数 2
回答已采纳
2回答
protected void Page_Init(object sender, EventArgs e) //First, check for the existence of the Anti-XSSelse //Generate a new Anti-XSRF token
浏览 0提问于2014-11-18得票数 0
从传统ASP文件到物理ASPX页的Server.Execute()或Transfer()与升级到IIS一起工作。示例:在test.asp中,但是,如果在Web.Config中定义aspx路径以触发dll中的处理程序,则Server.Execute()和Transfer()在传统的ASP文件中不起作用。在test.asp中我得到
浏览 2提问于2015-07-31得票数 3
云服务器
对象存储
ICP备案
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号