Question

在服务器端的经典ASP文件中，假设您收到一个包含恶意javascript的请求字符串，例如“alert('HACKED');”

DIM foo : foo = Request.Form("foo"); 'Contains malicious javascript

然后我们将javascript写入包含该值的屏幕。

%>
<script type="text/javascript">
   // some code
   <%=foo %>
   // some more code
</script>
<%

我们在这里做些什么来保护自己免受这种形式的跨站脚本攻击？

Answer 1

永远记住：“过滤输入，转义输出”

您过滤数据以便在数据库中安全存储（以防止SQL注入），并在将数据呈现给用户之前转义数据（以防止XSS）

尝试ASP的HTMLEncode()方法。