xss - 如何通过ASP.Net中的代理工具中的拦截器阻止跨站点脚本（XSS）

如何通过ASP.Net中的代理工具中的拦截器阻止跨站点脚本（XSS）

时间：2015-03-22 14:58:23

标签： xss

我的页面上有文本框的名字和姓氏。当我测试页面并使用像BURP套件这样的代理工具中的拦截器使用Doe％uff1cscript％uff1ealert％uff0812345％uff09％uff1c / script％uff1更新姓氏时，姓氏被存储为＆lt; script＆gt; alert（12345）＆lt; /脚本＆GT;在数据库中。

我曾尝试使用microsoft antixss库，但这不起作用。以下是我使用的代码： Dim Lname As String = Microsoft.Security.Application.Encoder.HtmlEncode（txtLName.Text）

有没有人建议如何防止这种情况？

1 个答案:

答案 0 :(得分：0)

只需在输出上进行HTML编码，而不是在存储时进行HTML编码。

e.g。 <变为<，&变为&。

有关详细信息，请参阅OWASP XSS (Cross Site Scripting) Prevention Cheat Sheet。

在.NET中，您可以在视图中使用Server.HTMLEncode或<%:myVar %>来执行此操作。

如何避免ASP.NET中的跨站点脚本
如何通过我的代理网站重定向网址
我可以从谷歌浏览器应用程序XSS跨站点脚本吗？
跨站点脚本和ASP.NET
防止跨站点脚本攻击
如何通过ASP.Net中的代理工具中的拦截器阻止跨站点脚本（XSS）
Google翻译网站如何在不受跨网站脚本编制的情况下修改网页？
避免在vue烘焙通知标题中使用跨站点脚本（XSS）
Fortify跨站点脚本：Response.Binarywrite中的永久性问题
禁用Firefox的NoScript XSS警告。 Firefox中的“潜在的跨站点脚本攻击”消息

我写了这段代码，但我无法理解我的错误
我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？
是否有可能使 loadstring 不可能等于打印？卢阿
java中的random.expovariate()
Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
为什么我的 Onclick 箭头功能在 React 中不起作用？
在此代码中是否有使用“this”的替代方法？
在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化
每千个数字得到
更新了城市边界 KML 文件的来源？