ASP.NET w / IIS 7 - URLEncoding所有QueryString值是否有合法的安全原因?

时间:2011-08-23 02:27:15

标签: asp.net iis-7

URLEncoding所有QueryString值是否有一个有效的安全原因,还是更像是防bug保护?

我理解它是如何减少错误的,但我很好奇它是否是一种安全措施。

This article表示这是一个问题,但我不太确定。

对此事的任何帮助表示赞赏。

1 个答案:

答案 0 :(得分:2)

IMO,查询字符串值的URL编码不会提高安全性。保护Web应用程序的要点是任何输入数据(或外部数据)都被认为是不可信的(无论是来自http请求的GET / POST数据还是通过某个文件或通过Web服务接收的数据)和需求待验证。此外,在将数据推送到数据存储(例如sql注入)或通过嵌入html(XSS)打印出来时需要小心。 URL编码只会确保客户端和服务器之间的数据正确传递。

如果您阅读了所看到的文章,它建议相同(需要最后的建议段落) - 它基本上说明URL编码实际上不是一种安全机制,而是使用各种其他做法以及保护应用程序。