我们的网站面临着以在我们的网站页面中附加链接 url 的形式进行的跨脚本攻击的问题 以前的攻击是在 1 个月前发生的,我们对我们的网站进行了以下更改:1. 参数化查询 2. 使用Html Encode 3. web.config 中的 RequestValidation="True" 我们使用上述方法成功阻止了该攻击
现在一个月后我们再次受到相同的xss攻击的影响
如果有人对我们可以采取更多措施来阻止它有什么建议吗?
问问题
68 次
2 回答
3
xss 最常见的原因是允许将原始内容(例如用户输入的 html,包含<script>块)直接呈现(未转义或清理)到客户端。简单地说:不允许那样。找到任何一个:
- 渲染内容而不转义,或
- 允许输入旨在按原样显示(html等)而不对其进行清理
并修复它。在 ASP.NET aspx 的情况下,请确保您使用<%:而不是<%=(除非您知道内容是干净的并且打算以原始方式编写)——如果合适的话,它会使用 html 编码。在cshtml(剃须刀)中,@默认情况下会进行编码。
于 2013-07-10T09:24:20.923 回答
2
还可以考虑使用 Microsoft Anti-Cross Site Scripting Library,它比标准 .NET 更好地编码 html 标记
http://www.microsoft.com/en-us/download/details.aspx?id=28589
于 2013-07-10T09:28:50.347 回答