XSS(跨站脚本攻击)
北京网站建设引起原因:
这个也有时被人们称作HTML注入,和sql注入原理相似,也是没有特殊字符进行处理。是用户可以提交HTML标签对网站进行重新的构造。其实在默认的情况下在asp.net网页中是开启validateRequest属性的,北京网站建设所有HTML标签后会.NET都会验证:
北京网站建设但这样直接把异常抛给用户,多少用户体验就不好。
解决方法:
(1):通过在 Page 指令或 配置节中设置 validateRequest=false 禁用请求验证,然后我们对用户提交的数据进行HtmlEncode,编码后的就不会出现这种问题了(ASP.NET 中编码方法:Server.HtmlEncode(string))。北京网站建设(2):第二种是过滤特殊字符,这种方法就不太提倡了,如果用户想输入小于号(<)也会被过滤掉.
上一篇:网站建设的安全-SQL 注入
您的一个电话,将为我们彼此创造一个美好的未来
重要的事情,电话聊一聊!