阅读目录
一:脚本攻击
二:模拟脚本攻击
三:运行效果
四:预防脚本攻击的主要方法
一:脚本攻击
脚本攻击是指将恶意的字符插入到网页中来,浏览器无法验证这些插入的字符,并且会将它们作为网页的一部分进行处理
从浏览器的角度来看,网页只是一个长的字符串,浏览器会按照顺序处理这个字符串,在此过程中,会显示某些字符,同时按照某些规则解释其他字符如:<script>,如果恶意用户将某些特殊字符插入到网页中来,则浏览器不知道这些特殊字符不应该处于该位置,而将它们作为页面的一部分处理起来
假如现在有个用户在TextBox中输入恶意代码如:<script>alert('我进来了,我是来攻击你的');</script>,我们单击一个按钮在Lable控件上显示用户输入的内容,单击按钮就会弹出一个提示框,这种情况被称为脚本攻击
二:模拟脚本攻击
ScriptAttack aspx.aspx
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
namespace EPG.WebAdmin.Security
{
public partial class ScriptAttack_aspx : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
}
protected void btnOK_Click(object sender, EventArgs e)
{
this.Label1.Text = this.txtInput.Text;
}
}
}
三:运行效果
界面设计
提交按钮后
四:预防脚本攻击的主要方法
预防脚本攻击的主要方法是决不信任用户录入的信息,在网页上显示用户录入的字符串之前,应对其进行HTML编码
我们对其进行HTML编码后,发现以前“<script>alert('我进来了,我是来攻击你的');</script>”中的“<”被替换为“<”了,“>” 被替换为“>”了,“'”被替换为了“'”
protected void btnOK_Click(object sender, EventArgs e)
{
this.Label1.Text = Server.HtmlEncode(this.txtInput.Text);
}
单击按钮后
查看源文件
