我已经使用alivePDF在我的flex应用程序中实现了一个PDF生成功能,我想知道我用来将文件发送给用户的过程是否会产生XSS漏洞。
这是我目前正在使用的过程:
- 在 flex 应用程序中创建 PDF。
- 使用 POST 将二进制 PDF 文件连同文件名一起发送到服务器。
- 服务器上的 ASP.NET 脚本检查文件名以确保其有效,然后将其作为 HTTP 附件发送回用户。
鉴于此,我应该采取哪些措施来防止 XSS?
问问题
389 次
2 回答
0
这将如何成为 XSS 可利用的?您没有直接向用户输出某些内容。文件系统只会拒绝奇怪的字符,当将文件放在输出流上时,名称和内容都很重要。
于 2009-11-09T22:18:45.733 回答
0
除了文件名之外,还有其他 GET 或 POST 参数吗?
在防止 XSS 方面,主要有三种策略:验证、转义和过滤。
验证:检测到无效字符后,拒绝 POST 请求(并向用户发出错误)。
转义:保存文件时可能不适用,因为您的操作系统将对有效文件名有限制。
过滤:自动去除任何无效字符的 POST 文件名参数。这是我建议您的情况。
在 ASP.NET 脚本中,立即获取 POST 字符串并删除以下字符:< > & ' " ? % # ; +
于 2009-11-09T22:10:07.040 回答