当前位置:首页 » HTML/CSS

XSS漏洞

2014-03-22 15:25 本站整理 浏览(12)
我们可以对请求的数据做检测,如果请求数据中有< 等就认为是恶意请求,禁止提交。aspx默认就是采用这种策略,这样做的缺点是如果做的是程序员论坛,程序员就无法发飙HTML代码的帖子了,因此更好的处理策略是将用户发表的内容按照原样显示出来,而不是以HTML的方式显示出来。使用HttpUtility.HtmlEncode就可以将字符串中的< 、/等特殊字符转换为HTML显示的字符,也就是不把<script>当成定义脚本的标签,而是当成<、script>这样可以在页面上直接显示出来的内容