• 1、Web应用程序中的安全向量 -- XSS跨站脚本攻击


    XSS攻击(跨站脚本攻击)的概念:

      用户通过网站页面的输入框植入自己的脚本代码,来获取额外的信息。

    XSS的实现方式:

      (1)通过用户将恶意的脚本命令输入到网站中,而这些网站又能够接收“不干净”用户输入,称为“被动注入”,用户把“不干净”的内容输入到文本框中,并把这些内容保存到数据库中,以后再重新在页面上显示。

      (2)通过直接在页面上显示的用户输入,称为“主动注入”。用户将“不干净”的内容输入到文本框中,这些输入的内容立刻就会在屏幕上显示出来。

    阻止XSS攻击:

        (1)Html编码

        大部分情况下,使用简单的HTML编码就可以避免XSS -- 服务器通过这个过程将HTML保留字符(如 “<” 和 “>” )替换为特殊编码。对于ASP.NET MVC而言,只需要在视图中使用Html.Encode和Html.AttributeEncode方法就可以实现对特性值的“编码”替换。

    谨记:永远不要信任用户能够接触到的或者使用的一切数据,其中包括所有的表单值、Url、cookie或来自第三方源(如OpenID)的个人信息。此外,网站所访问的数据库或服务可能没有对这些数据进行编码,所以不要相信输入应用程序的任何数据,要尽可能地对它们进行编码。

        (2)JavaScript编码

        Html编码不能阻止注入的JavaScript执行。

        解决方法:   (1)使用Ajax.JavaScriptStringEncode辅助方法对JavaScript中使用的字符串进行编码,这与Html.Encode方法进行编码是类似的

              (2)使用AntiXSS库

                  AntiXSS库可以为ASP.NET应用程序增加一层额外的防护,它的工作机制与ASP.NET和ASP.NET MVC的编码机制相比有几点重要差异,主要是如下两点:

                    (1)AntiXSS使用一个新人字符的白名单,而ASP.NET的默认实现使用一个有限的不信任字符的黑名单。AntiXSS只允许已知安全的输入,因此它只提供安全性能要炒锅视图组织潜在有害输入的过滤器。

                    (2)AntiXSS库的中点是组织应用程序中的安全漏洞,而ASP.NET编码主要关注防止HTML页面的显示不被破坏。

                  要使用AntiXSS库,只需要在web.config的httpRuntime中添加如下代码:

                    <httpRuntime encoderType="System.Web.Security.AntiXss.AntiXssEncoder,System.Web, Version=4.0.0.0,Culture=neutral, PublishKeyToken=b03f5f7f11d50a3a" />

                  或者安装AntiXSS NuGet包。在视图中添加对Microsoft.Security.Application命名空间的引用,然后再使用Encoder.JavaScriptEncode()方法来编码。

  • 相关阅读:
    JavaScript ECMAScript 2015 (ES6) 和 ECMAScript 2016 (ES7) 新特性速查
    Sass中文文档
    TypeScript手册中文版
    敏捷:什么是用户故事(User Story)
    Repeater为空时显示“暂无数据”,很方便实用方法
    jquery之css()改变字体大小,颜色,背景色
    七牛 在线管理 v0.1
    clion idea jetbrain windows下搞c/c++
    amazeui 搜索 动态
    命令行启动软件
  • 原文地址:https://www.cnblogs.com/Herzog3/p/6040056.html
Copyright © 2020-2023  润新知