我是一名新的ASP.NET开发人员,我的讲师强迫我开发一个安全的网站/基于Web的应用程序。在提交我的第一个应用程序之后,他告诉我应用程序很容易受到跨站点脚本的攻击,并且他通过要求我将URL更改为应用程序来证明我:
http://localhost/testapp/default.aspx
到
http://localhost/testapp/default.aspx?--></script><script>alert(30999)</script>
我有一个显示30999的弹出窗口。
那么如何防止这种漏洞?
我在网上搜索过,我发现ASP.NET中的RequestValidate功能可以防止这种攻击,但为什么它在我的情况下不起作用。
答案 0 :(得分:0)
ASP.NET中的RequestValidate功能阻止了这种问题,http://weblogs.asp.net/jgalloway/archive/2011/04/28/preventing-javascript-encoding-xss-attacks-in-asp-net-mvc.aspx这将对您有所帮助。我看到它没有停止的原因之一不是在开始