我们的网站正面临着跨脚本攻击的问题 在我们的网站页面中添加链接网址 以前的攻击是在一个月前接近1个月, 我们对网站进行了以下更改: 参数化查询 2.使用Html编码 3.Web.config中的RequestValidation =“True” 我们通过使用上述方法成功地阻止了这种攻击
现在一个月之后,我们再次受到同样的xss攻击
如果有人对我们可以做些什么来阻止它有任何建议?
答案 0 :(得分:3)
xss通常是由于允许原始内容(例如用户输入的html,包含<script>块)直接呈现(未转义或消毒)到客户端。简单地说:不允许。找到任何一个:
和修复。对于ASP.NET aspx,请确保使用<%:而不是<%=(除非您知道内容是干净的并且打算以原始方式编写) - 因为如果合适,会进行html编码。在cshtml(razor)中,@默认情况下会进行编码。
答案 1 :(得分:2)
另外考虑使用Microsoft Anti-Cross Site Scripting Library,它比标准.NET更好地编码html标记
http://www.microsoft.com/en-us/download/details.aspx?id=28589