这是互联网上的一个冗余问题,但没有简单的答案。我知道我不会简单地通过过滤来摆脱所有 XSS,但我想从它开始。我目前正在使用用 JScript(不是通常的 VBScript)编写的服务器代码处理 ASP Classic 项目。我们发现我们容易受到一些 XSS 攻击。一个很难摆脱,因为我不是 javascript 大师。当您使用如下 URL 时,攻击成功。
我尝试了 HTMLEncode,NumVol 参数字符串上的替换方法......但它仍然显示 cookie。我正在寻找的只是一个小的替换方法、一个正则表达式或任何简单的东西来管理那个特定的情况。
这是一个旧的生产应用程序,他们不想花太多时间在上面。只是一些安全基础知识。我们现在绝对不会安装依赖 .NET(如 OWASP)的库来解决这个问题,因为我们很快就会在 .NET 中重建应用程序。
编辑
这是我尝试过的示例代码。您可以看到我使用 HTMLEncole 加上一些带有“替换”的过滤器。"%" 字符在那里,但它不起作用,因为 onmouseover 是写的。我需要的是 Javacript 中的一个语法示例(regex 或 someting),我可以在这种情况下应用。
var sPage = "" + Request.ServerVariables ( "SCRIPT_NAME" );
var NumVol = Request.QueryString("NumVol");
var comp = Request.QueryString("comp")
var nav = Request.QueryString("nav");
var NoEle = Request.QueryString("NoEle");
var NoCons = Request.QueryString("NoCons");
if (Lg=="en") {
var pageSourceValid = Server.HTMLEncode(sPage + "?Lg=fr");
Response.Write("<a href=");
if ((NumVol+"" != "undefined") && (NumVol+"" != "")) {
pageSourceValid += "&NumVol=" + NumVol.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,"");
}
if ((nav+"" != "undefined") && (nav+"" != "")) {
pageSourceValid += "&nav=" + nav.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,"") + "";
}
if ((comp+"" != "undefined") && (comp+"" != "")) {
pageSourceValid += "&comp=" + comp.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,"") + "";
}
if ((NoEle+"" != "undefined") && (NoEle+"" != "")) {
pageSourceValid += "&NoEle=" + NoEle.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,"") + "";
}
if ((NoCons+"" != "undefined") && (NoCons+"" != "")) {
pageSourceValid += "&NoCons=" + NoCons.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,"") + "";
}
Response.Write(Server.HTMLEncode(pageSourceValid));
Response.Write (" class=lienBanniere>");
Response.Write ("Français");
Response.Write ("</a>");
}