我的申请中遇到了安全问题。我不理解下面的问题,请任何人告诉我,它是什么以及如何解决这个通用问题?如何使用安全相关工具扫描网站?
线程 - 当Web应用程序在发送到Web浏览器的HTML响应中回显用户提供的数据时,会发生XSS漏洞。例如,Web应用程序可能包含用户名作为欢迎消息的一部分,或者在确认发货目的地时显示家庭地址。如果用户提供的数据包含被解释为HTML元素的一部分而不是文字文本的字符,则攻击者可以修改受害者Web浏览器接收的HTML。
Ex:http://mydomain/Products.aspx?category=%22%20onEvent%3dX151232644Y1Z%20&name=Healthcare
答案 0 :(得分:2)
OWASP在他们的“XSS (Cross Site Scripting) Prevention Cheatsheet”中详细介绍了这个主题。
答案 1 :(得分:1)
您可以在Web应用程序中使用AntiXSS。
<强>教程
http://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx
http://msdn.microsoft.com/en-us/security/aa973814
有用的工具
Microsoft Web Protection Library http://wpl.codeplex.com/
利用XSS
http://msdn.microsoft.com/en-us/library/aa973813.aspx
http://www.cgisecurity.com/xss-faq.html
防止XSS的基本方法
输入 - &gt;反SQL注入 - &gt;存储在DB中 - &gt; Anti-XSS - &gt;输出