Question

Я недавно заметил, что в моем приложении была большая дыра, потому что я сделал что-то вроде:

<input type="text" value="<%= value%>" />

Я знаю, что должен был использовать Html.Encode, но есть ли способ сделать это для всех значений, без необходимости делать это явно?

George Stocker · Answer 1 · 08 июля 2010

Есть несколько способов:

Используйте синтаксис <%: %> в ASP.NET MVC2 / .NET 4.0. (Что является просто синтаксическим сахаром для Html.Encode())
Следуйте указаниям , изложенным Филом Хааком , где подробно описано использование библиотеки Anti-XSS в качестве механизма кодирования по умолчанию для ASP.NET.

BradB · Answer 2 · 17 октября 2010

Смотрите это видео от Скотта Хансельмана и Фила Хаака. Они охватывают XSS, CSRF, JSON Hijacking специально с ASP.Net MVC.

Joel Spolsky · Answer 3 · 08 июля 2010

В ASP.Net 4.0 или более поздней версии всегда используйте <%: ...%> вместо <% = ...%> ... он выполняет кодировку HTML для вас.

Объяснение Скотта Гу .

Сделав это, довольно просто регулярно выполнять поиск кода для <% = в качестве меры безопасности. </p>

Кроме того, вы используете Библиотека Microsoft Anti-XSS ?

Thiru · Answer 4 · 25 октября 2013

Синтаксис для кодировки HTML

<%: model.something%> синтаксис в WebForms
Это автоматически в Razor, т. Е. @Model.something автоматически закодирует, не нужно ничего делать для кодирования.
MVC3 HTML-методы-помощники автоматически возвращают закодированную строку.например, Html.Label вернет закодированную строку

Подробнее о межсайтовом скриптинге

http://thirum.wordpress.com/2013/10/24/how-asp-net-mvc-prevents-cross-site-scriptingxss-attack/

Peter Selth · Answer 5 · 28 августа 2015

Потенциально опасные теги HTML:

Хотя этот список не является исчерпывающим, следующие часто используемые теги HTML могут позволить злоумышленнику ввести код сценария:

<applet>
<body>
<embed>
<frame>
<script>
<frameset>
<html>
<iframe>
<img>
<style>
<layer>
<link>
<ilayer>
<meta>
<object>

Злоумышленник может использовать HTMLатрибуты, такие как src, lowsrc, style и href в сочетании с предыдущими тегами для внедрения межсайтового скриптинга.Например, атрибут src тега может быть источником внедрения, как показано в следующих примерах.

<img src="javascript:alert('hello');">
<img src="java&#010;script:alert('hello');">
<img src="java&#X0A;script:alert('hello');">

Злоумышленник также может использовать тег для внедрения сценария, изменив тип MIME, как показанов следующем.

<style TYPE="text/javascript">
  alert('hello');
</style>

Как избежать XSS-уязвимостей в ASP.Net (MVC)?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 5 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как избежать XSS-уязвимостей в ASP.Net (MVC)?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 5 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов