编写JavaScript时,经典ASP中的跨站点脚本

时间:2010-07-21 20:23:38

标签: javascript asp-classic xss

在服务器端的经典ASP文件中,假设您收到一个包含恶意javascript的请求字符串,例如“alert('HACKED');

DIM foo : foo = Request.Form("foo"); 'Contains malicious javascript

然后我们将javascript写入包含该值的屏幕。

%>
<script type="text/javascript">
   // some code
   <%=foo %>
   // some more code
</script>
<%

我们在这里做些什么来保护自己免受这种形式的跨站脚本攻击?

1 个答案:

答案 0 :(得分:1)

永远记住:“过滤输入,转义输出”

您过滤数据以便在数据库中安全存储(以防止SQL注入),并在将数据呈现给用户之前转义数据(以防止XSS)

尝试ASP的HTMLEncode()方法。

相关问题
最新问题