1回答
我想保护我的ASP.NET MVC 5应用程序不受跨站点脚本(XSS)的影响。我已经看过几篇文章了,所以就发了。理想的选择是对输入进行编码,并在重新显示输入时进行编码。但是,MVC默认防止任何包含HTML标记的请求,以避免XSS攻击。默认情况下,如果在请求中检测到潜在危险的内容,ASP.NET 4.5将引发异常。
在某些合法的情况下,用户提交标记是完全可以接受的。如果我在输入字段中输入任何标记,asp.net将按预期抛出异常。话虽如此,我是否仍然需要对输入进行编码,还是已经由as
浏览 3提问于2017-02-24得票数 2
我正在使用最新版本的ASP.NET MVC 5.2.3创建一个web应用程序。我只是担心XSS攻击。我发现在ASP.NET内核中,保护XSS和这个框架非常好,但是它缺少第三方,我的项目需要第三方。以避免此异常或错误。
使用,AllowHtml属性--这很好--或者使用AntiXss库。
但是,从URL。所以我决定从这次XSS攻击中寻找最好的解决方案。
浏览 4提问于2017-08-16得票数 1
我想通过注册一个脚本来显示我的asp.net页面中的消息,有时甚至是错误的异常代码。Page.GetType(), "processError", "alert('" + ptcred.TransactionError + "');", true);
ptcred.TransactionError是ASP.NET
浏览 0提问于2013-03-30得票数 3
回答已采纳
2回答
我现在试图处理的是防止SQL注入和XSS --我能够通过将一些标记粘贴到我的输入中来破坏我的应用程序。
浏览 1提问于2013-11-02得票数 7
回答已采纳
我已经阅读了很多关于XSS和如何处理的帖子。一般来说,大家的共识是白名单而不是黑名单,并避免使用正则表达式(太多的变体要处理)。我正在通过Nuget使用AntiXSS包。我是被保护着不受大多数XSS问题的影响,还是我找错了人?
浏览 3提问于2012-06-04得票数 6
回答已采纳
根据我对ASP.NET所做的了解以及我个人对各种XSS测试的了解,我发现我的ASP.NET 4网站不需要任何XSS预防。
您认为XSS4.0网站除了默认选项之外还需要任何额外的ASP.NET安全性吗?
浏览 2提问于2011-08-02得票数 5
回答已采纳
2回答
我有一个url参数,可以是:"“或:javascript:警告(document.cookie)
如果我使用encodeURIComponent来避免xss攻击,那么合法的url就会被破坏,如果我使用encodeURIComponent,xss攻击就不会被处理(冒号通过)。避免xss攻击和保持url有效的最佳方法是什么?
浏览 14提问于2015-08-25得票数 2
回答已采纳
我使用的是ASP.NET,并且在ASP.NET页面上有validations属性,该属性检查XSS验证。然而,我想知道这是否真的足够了?我已经访问了一些关于stackoverflow的相关文章,这对我很有帮助,但我希望了解在开发网站时如何规划XSS?谢谢,
浏览 1提问于2010-03-11得票数 4
回答已采纳
为了避免XSS攻击,我在我的链接中使用CSRF数据。但是,当我将用户链接到外部网站时,如果他们正在检查HTTP_REFERER,则目标网页可能会捕获此CSRF数据。因此,我尝试创建一个名为RedirectPage.asp的页面,该页面将URL作为参数并执行Server.Redirect。但如果我单击pagex.asp?CSRF...上的外部链接,我捕获的最终HTTP_REFERER仍然是pagex.asp。谢谢!!
浏览 2提问于2013-01-30得票数 0
回答已采纳
5回答
我最近注意到我的应用程序中有一个很大的漏洞,因为我做了一些类似的事情:我知道我应该使用Html.Encode,但是有没有办法对所有的值都这样做,而不必显式地这样做呢?
浏览 1提问于2010-07-09得票数 19
回答已采纳
有没有一种简单的方法来指定所有的“正常”视图是ASP.NET MVC应用程序将charset=utf-8附加到Content-Type中?其动机显然是为了绕过Internet Explorer猜测“正确的”编码类型,而我希望这样做是为了避免UTF-7XSS攻击。
浏览 4提问于2009-11-17得票数 13
回答已采纳
因为我是新手,所以我认为如果列出一个常见的陷阱,它们是什么,以及如何避免它们是有道理的。ASP.NET MVC为我提供了哪些工具来完成这个任务?
如果在另一个问题中讨论了一个专题,那么简短的总结和与该问题的链接将是一个好主意。
浏览 2提问于2009-05-07得票数 4
1回答
我正在尝试制作一个防黑客的网站,并学习XSS。所以这个过程是我正在使用微软的AntiXSS库来避免XSS攻击,但是,令人困惑的是,我应该在步骤'B‘还是在步骤'C’执行必要的步骤来避免XSS攻击。
浏览 3提问于2012-01-07得票数 0
如何在剃须刀视图中输出符号和&作为查询字符串的一部分? $.ajax({ success: function (content) { $('body').append(content); }, timeout: 30000
浏览 2提问于2017-05-22得票数 0
回答已采纳
我需要JavaScript用Bootstrap编码ASP.NET MVC吗?(见下面的具体例子)
正如我所理解的,@Model.xxx自动对任何数据进行编码。
浏览 3提问于2015-12-07得票数 0
2回答
我被告知要在我的一些银行旧.asp页面中找到跨站点脚本(XSS)的修复程序。<form method="POST" id="CH" name="CH" action="http://some_url/som
浏览 7提问于2012-12-06得票数 2
回答已采纳
将'转换为'、将>转换为>、将<转换为<以避免XSS将不受信任的数据插入到JavaScript字符串中(如下所示)是否足够?<script></script>
是否存在上述转换不足以避免XSS的情况?
浏览 0提问于2014-11-27得票数 9
我一直在阅读Anti-XSS Security Runtime Engine,它看起来是一个很好的web表单解决方案,因为它通过反射检查控件,并在适当的地方自动编码数据。然而,由于我并不是真的在MVC中使用服务器端控件,所以对于ASP.NET ASP.NET来说,它似乎不是一个可行的解决方案。这是正确的,还是我漏掉了什么?
浏览 4提问于2009-06-16得票数 15
回答已采纳
4回答
filterContext.Result = new HttpStatusCodeResult(HttpStatusCode.BadRequest); }我想知道如何验证XSS
浏览 6提问于2015-11-03得票数 2
回答已采纳
1回答
我读过关于XSS的文章,我知道ASP.NET不允许将HTML保存到数据库中。所以我的问题是,使用ASP.NET是否使我的web应用程序对XSS完全安全,而不需要我做额外的工作,因为攻击者不能提交任何恶意代码?
我知道恶意攻击者还可以尝试其他方法,但我现在只是在询问XSS。
浏览 0提问于2015-10-17得票数 1
回答已采纳
云服务器
ICP备案
云直播
对象存储
腾讯会议
腾讯云开发者
