我正在开发一个新的网站(ASP.NET,Web Forms,C#),并且需要包含针对Javascript注入攻击的保护。有没有人有任何关于如何实施网站安全抵御这些类型攻击的良好链接?
由于
答案 0 :(得分:2)
您需要在从客户端读取的任何内容上部署正确的输入条件。
OWASP在此有一个很好的总结:
https://www.owasp.org/index.php/Input_Validation_Cheat_Sheet
基本上,您将要构建白名单(通常是用户应该能够发送/提交给您的应用程序的所有内容的一些正则表达式),然后只接受白名单。一个好的做法就是这样做,但是在白名单前面放一个黑名单基本上,寻找像Javascript脚本标签这样的已知坏事,并拒绝它们(这是黑名单部分)。然后通过那里得到的东西,以确保你应该看到的内容,并且可以安全地处理,只有它是允许的。
答案 1 :(得分:0)
跨站点脚本(XSS)是您关注的漏洞的名称。 Read up on it at OWASP并咨询他们的XSS Prevention Cheat Sheet
当你在那里时,浏览他们的Top Ten most common web application vulnerabilities并考虑你需要保护自己的其他攻击/弱点。