как XSS вписывается в мою ситуацию

Question

В настоящее время у меня есть одна страница asp.net, которая отображает сетку с одним столбцом с расширенным текстом в нем. Это логическое 3-х уровневое приложение. Bll возвращает коллекцию в пользовательский интерфейс для привязки к сетке.

В настоящее время, когда вы редактируете столбец, он предоставляет вам расширенный текстовый редактор, и все данные сохраняются в базе данных.

С учетом того, как он разработан сейчас, каков наилучший способ использования библиотеки Microsoft Anti-XSS или это вообще возможно? Нужно ли перепроектировать?

Спасибо, стержень.

Answer 1

Я не думаю, что вам нужно обязательно перепроектировать, возможно, вы захотите добавить часть AntiXSS к вашему BLL, и все.

Чтобы избежать атак XSS, вам нужно принять пользовательский ввод из текстового редактора и сохранить его в своей базе данных. Затем, когда пользовательский ввод возвращается из базы данных на экран, вам необходимо закодировать его так, чтобы теги <script> не отображались как <script>, а отображались как <script>, что останавливает их выполнение в браузер.

Поскольку вы говорите, что ваш BLL возвращает коллекцию в пользовательский интерфейс, я должен сказать, что точка, в которую нужно вызывать методы кодирования AntiXSS, - это точка, в которой коллекция создается из строк в базе данных. Если вы разместите соответствующий раздел вашего кода, мы сможем точно определить, где необходимы изменения.