網(wǎng)站建設的安全-XSS（跨站腳本攻擊）發(fā)布者：本站     時(shí)間：2020-04-07 08:04:46

XSS（跨站腳本攻擊）
引起原因：
這個(gè)也有時(shí)被人們稱(chēng)作HTML注入，和sql注入原理相似，也是沒(méi)有特殊字符進(jìn)行處理。是用戶(hù)可以提交HTML標簽對網(wǎng)站進(jìn)行重新的構造。其實(shí)在默認的情況下在asp.net網(wǎng)頁(yè)中是開(kāi)啟validateRequest屬性的，所有HTML標簽后會(huì ).NET都會(huì )驗證：

但這樣直接把異常拋給用戶(hù)，多少用戶(hù)體驗就不好。
解決方法：
（１）：通過(guò)在 Page 指令或 配置節中設置 validateRequest=false 禁用請求驗證，然后我們對用戶(hù)提交的數據進(jìn)行HtmlEncode,編碼后的就不會(huì )出現這種問(wèn)題了（ASP.NET 中編碼方法：Server.HtmlEncode(string)）。
（２）：第二種是過(guò)濾特殊字符，這種方法就不太提倡了，如果用戶(hù)想輸入小于號（<）也會(huì )被過(guò)濾掉.