Как предотвратить межсайтовый скриптинг
Проверка ввода и кодирование вывода.
Ограничить ввод, подтвердив его
тип, длина, формат и диапазон. использование
метод HttpUtility.HtmlEncode для
закодировать вывод, если он содержит вход
от пользователя, например, ввод из формы
поля, строки запроса и куки или
из других источников, таких как базы данных.
Никогда не просто возвращайте ввод пользователю
без проверки и / или кодирования
данные. В следующем примере показано, как
закодировать поле формы.
Response.Write(HttpUtility.HtmlEncode(Request.Form["name"]));
Если вы возвращаете строки URL, которые содержат
введите клиенту, используйте
HttpUtility.UrlEncode метод для кодирования
эти строки URL, как показано здесь.
Response.Write(HttpUtility.UrlEncode(urlString));
Если у вас есть страницы, которые нужно принять
ряд элементов HTML, таких как
через какой-то ввод текста
поле, вы должны отключить ASP.NET
запрос подтверждения для страницы.
Включение пользовательских ошибок, чтобы сохранить ошибки закрытыми
<customErrors mode="On" defaultRedirect="YourErrorPage.htm" />