Межсайтовый скриптинг в классическом ASP при написании JavaScript

Question

В серверном классическом ASP-файле, скажем, вы получили строку запроса, содержащую вредоносный javascript, такой как "alert('HACKED');"

DIM foo : foo = Request.Form("foo"); 'Contains malicious javascript

, а затем мы записываем javascript на экран, содержащий этоvalue.

%>
<script type="text/javascript">
   // some code
   <%=foo %>
   // some more code
</script>
<%

Что мы делаем здесь, чтобы обезопасить себя от этой формы межсайтового скриптинга?

Answer 1

Всегда помните: «Фильтруйте ваш ввод и избегайте вывода»

Вы фильтруете данные для безопасного хранения в базе данных (для предотвращения SQL-инъекций) и экранируете данные перед тем, как представить их пользователю (дляпредотвратить XSS)

Попробуйте метод ASP HTMLEncode () .