我必须防止在HttpResponse中通过HttpRequest标头中的数据发送跨站点脚本漏洞来传递webapp评估。
例如,HttpRequest Header:
GET /%22%20%73%54%79%4c%65%3d%58%3a%65%58%2f%2a%2a%2f%70%52%65%53%73%49%6f%4e%28% 61%6c%65%72%74%28%35%37%31%33%35%29%29%20%22 HTTP/1.1
HttpResponse位置值:
/" sTyLe=X:eX/**/pReSsIoN(%?3e3ea140
我的网站是一个用VB.Net编写的ASP.Net网站,运行在带有IIS 6.0的Windows Server 2003上。我有什么选择?我是否必须在IIS中使用ISAPI过滤器?
答案 0 :(得分:0)
这样做的正确方法是确保您在数据库(或您使用的任何来源)中的数据是干净的,并确保您在服务器端验证所有用户输入。
确认数据干净并且所有输入都经过验证后,您应该是安全的。
不确定IIS中是否有任何内置方法。