Question

Например, у меня есть обработчик MyPage.ashx?parameter=1&parameter=2

если кто-то добавил в конец URL <script>alert('Test')</script>

MyPage.ashx?parameter=1&parameter=2<script>alert('Test')</script>

JavaScript будет выполняться на стороне клиента

Есть ли способ очистить URL от межсайтовых скриптов?

blowdart · Answer 1 · 09 июня 2011

Javascript выполняется только потому, что вы выводите пользовательский ввод raw.

Если ваш ashx нуждается в выводе параметров, вы должны закодировать их подходящим образом.Предполагая, что вы создаете HTML на своей странице Ashx, вам нужно HtmlEncode значение параметра перед его выводом.Существуют разные методы кодирования для определенных типов, трудно сказать, какой из них нужно использовать, без дополнительных подробностей сценария ashx.

Hauzi · Answer 2 · 09 июня 2011

Проверка Проверка запроса ASP.NET

Кроме того, вы никогда не должны передавать входные параметры запроса неэкранированными или не проверенными обратно клиенту.

Как очистить Ashx URL от межсайтовых скриптов?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как очистить Ashx URL от межсайтовых скриптов?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы