问题标签 [javascript-injection]

任何人都知道一个好的库，我可以在插入字符串之前运行它们，可以去掉 sql/javascript 代码？在jsp页面中运行。

理想情况下，lib 将是：

• 自由
• 轻的
• 便于使用

提前感谢 SO 社区，他们会很高兴地回复 :)

在 VB.NET Web 应用程序中防止 javascript 注入的最佳方法是什么？是否有某种方法可以在页面加载事件中禁用 javascript？

最近，我们的 vb.net 产品的部分安全计划是简单地禁用特定用户无法使用的页面上的按钮。然而，我告诉那个想到打字的人

javascript:alert(document.getElementById("Button1").disabled="")

在地址栏中将重新启用该按钮。我确信其他人以前遇到过这样的问题，所以任何帮助表示赞赏。谢谢！

更新： 除了验证用户输入，我怎样才能保护网站不被地址栏玩弄？

我一直在 asp.net mvc 学习网站上阅读有关 JavaScript 注入的内容，这让我大开眼界。

我什至从未意识到/想过有人使用 JavaScript 进行一些奇怪的屁股注入攻击。

然而，它给我留下了一些悬而未决的问题。

第一的

你什么时候使用 html.encode？就像您仅在要显示该用户或其他用户提交的信息时使用它一样？

还是我将它用于所有事情。比如说我有一个用户提交的表单，这个信息永远不会显示给任何用户，我应该还在使用 html.encode 吗？

我该怎么做，就像我不确定如何在 say 和 Html.TextBox() 中放入 html.encode 标记一样。

第二

会发生什么说我的网站上有一个丰富的 html 编辑器。用户被允许使用它并使事情变得大胆等等。现在我想通过标签向用户显示信息。我不能 Html.Encode 从那以后所有的粗体和东西都不会被渲染。

但是我不能让它保持原样，因为什么会阻止用户添加一些 Javascript 攻击？

那我该怎么办？使用正则表达式过滤掉所有标签？

第三

您还可以使用另一个标签，称为“AntiforgeryToken”，您什么时候使用这个标签？

谢谢

编辑

几乎每个人都说使用“白名单”和“黑名单”我将如何编写此列表并将其与传入值进行比较（C# 中的示例会很好）？

我们如何处理 asp.net mvc (C#) 应用程序中的 javascript 注入？

我可以在我的视图中使用 Html.Encode。但问题是我有 html 也可以像博客文章一样显示在页面中。

我需要删除在应用程序的输入元素中输入的脚本吗？我怎么能在一个共同的地方做到这一点？

大家好，我正在使用标记编辑器来获取我的一个字段的值并将其存储在 sql server 2008 db 中。现在我想问题是人们在编辑器中有脚本标签和 javascript 并注入恶意脚本，我的验证输入变为错误。那么任何人都可以建议我编写一种自定义验证方法的方法，该方法可能会检查脚本标签并删除它们......或者只是指导我完成我需要做的步骤？......还有其他我应该做的事情担心……？

需要采取哪些措施来防止或阻止 PHP Web 应用程序中发生 JavaScript 注入，以免泄露敏感信息（PHP、HTML/XHTML 和 JavaScript 中的最佳实践）？