1

我已经使用alivePDF在我的flex应用程序中实现了一个PDF生成功能,我想知道我用来将文件发送给用户的过程是否会产生XSS漏洞。

这是我目前正在使用的过程:

  1. 在 flex 应用程序中创建 PDF。
  2. 使用 POST 将二进制 PDF 文件连同文件名一起发送到服务器。
  3. 服务器上的 ASP.NET 脚本检查文件名以确保其有效,然后将其作为 HTTP 附件发送回用户。

鉴于此,我应该采取哪些措施来防止 XSS?

4

2 回答 2

0

这将如何成为 XSS 可利用的?您没有直接向用户输出某些内容。文件系统只会拒绝奇怪的字符,当将文件放在输出流上时,名称和内容都很重要。

于 2009-11-09T22:18:45.733 回答
0

除了文件名之外,还有其他 GET 或 POST 参数吗?

在防止 XSS 方面,主要有三种策略:验证、转义和过滤。

验证:检测到无效字符后,拒绝 POST 请求(并向用户发出错误)。

转义:保存文件时可能不适用,因为您的操作系统将对有效文件名有限制。

过滤:自动去除任何无效字符的 POST 文件名参数。这是我建议您的情况。

在 ASP.NET 脚本中,立即获取 POST 字符串并删除以下字符:< > & ' " ? % # ; +

于 2009-11-09T22:10:07.040 回答