2

我在 asp.net 页面中使用 tinymce 编辑器。它配置得很好,但是当我尝试在编辑器中编写 soem 文本时,它引发错误“使用 timymce 从客户端检测到潜在危险的 Request.Form 值”我搜索并知道这是对输入消息表单脚本和 sql 的基本扫描注射攻击。

为了消除这个错误,我把ValidateRequest=fasle页眉放在了 aspx 页面中。现在我确定输入没有经过验证,但现在不安全了吗?

请指导我它现在有什么类型的威胁以及我可以采取什么安全措施来防止它。编辑器用于撰写和存储电子邮件。我刚刚在一些网站上读到客户端脚本攻击可能来自输入。请指导和帮助。

4

1 回答 1

2

我相信这个答案与您正在寻找的内容一致。

基本上,您必须确保在适用的情况下对所有输入字段进行 html 编码/解码。实际上,您无法完全避免它,除非您禁用验证。但如果是,请确保采取措施避免直接使用输入。

于 2011-07-23T12:22:24.870 回答