[转]在 Web 应用程序中防止脚本利用

大多数脚本利用发生在用户可以将可执行代码(脚本)插入您的应用程序时。默认情况下,ASP.NET 提供请求验证。不管窗体发送包含什么样的 HTML,该验证都会引发错误。
您可以使用下列方法防止脚本利用:
在接受或显示字符串之前,将 HTML 编码应用于它们,以便字符串不包括任何可执行元素。
如果您的应用程序需要接受某些 HTML,则禁用请求验证并创建您自己的 HTML 筛选器。
本主题中的过程说明如何执行这些任务。
应用 HTML 编码
HTML 编码使用 HTML 保留字符转换 HTML 元素,以便显示它们而不是执行它们。
应用 HTML 编码
在显示字符串之前,调用 Server 对象的 HtmlEncode 方法。HTML 元素会转换为浏览器将显示(而不解释为 HTML)的字符串表示形式。
以下示例说明 HTML 编码。在一个实例中,在显示用户输入之前对其进行编码。在第二个实例中,在显示数据库中的数据之前对其进行编码。
注意   只有通过向 @ Page 指令中添加 alidateRequest="false" 来在页中禁用请求验证时,此示例才将起作用。决

// C#
private void Button1_Click(object sender, System.EventArgs e)
{
    Label1.Text 
= Server.HtmlEncode(TextBox1.Text);
    Label2.Text 
= 
        Server.HtmlEncode(dsCustomers1.Customers[
0].CompanyName);
}

不禁用请求验证而不添加您自己的检查或筛选器。

筛选 HTML 元素
默认情况下,Web 窗体页检测发送到服务器的信息中的任何 HTML 元素和保留字符。这样,将防止用户试图将脚本嵌入您的应用程序。当页检测到 HTML 时,它会引发一个错误。您可以使用 Page_Error 或 Application_Error 处理程序捕捉此错误。有关详细信息,请参见显示安全的错误信息。
但是,如果您的应用程序需要接受某些 HTML 元素,可关闭请求验证,并创建一个只允许使用要接受的 HTML 元素的筛选器。
注意   不要创建试图只筛选出不可接受元素的筛选器,因为预料每个可能的错误输入十分困难。相反,如果您创建筛选器,则创建一个定义可接受输入的筛选器。
筛选 HTML 元素
通过将属性 ValidateRequest="false" 添加到 @ Page 指令中禁用请求验证。
安全说明   决不要禁用自动请求验证而不添加您自己的检查或筛选器。
使用 HtmlEncode 方法对字符串进行编码。
调用 String.Replace 方法,将要接受的已编码 HTML 标记转换回它们的 HTML 形式。
提示   如果您熟悉正则表达式,则可以使用一个正则表达式来高效地执行筛选。有关详细信息,请参见 .NET Framework 正则表达式。
以下示例说明一个简单的筛选器,它接受加粗元素和带下划线的元素(<b>、</b>、<u>、</u>)。在显示所有其他用户输入之前都对其进行编码。
安全说明   许多 HTML 标记都允许在其属性中使用脚本。例如,标记 <img src="javascript:alert('hi')"> 是合法的。如果您希望接受比简单的格式设置标记更复杂的 HTML 标记,则必须确保恶意用户无法假借允许的 HTML 标记将脚本传递到您的应用程序。

// C#
private void Button1_Click(object sender, System.EventArgs e)
{
    String userinput 
= TextBox1.Text;
    userinput 
= Server.HtmlEncode(userinput);
    
// Accepts <b>, </b>, <u>, </u>, case-insensitive
    userinput = userinput.Replace("&lt;b&gt;""<b>");
    userinput 
= userinput.Replace("&lt;/b&gt;""</b>");
    userinput 
= userinput.Replace("&lt;B&gt;""<B>");
    userinput 
= userinput.Replace("&lt;/B&gt;""</B>");
    userinput 
= userinput.Replace("&lt;u&gt;""<u>");
    userinput 
= userinput.Replace("&lt;/u&gt;""</u>");
    userinput 
= userinput.Replace("&lt;U&gt;""<U>");
    userinput 
= userinput.Replace("&lt;/U&gt;""</U>");
    Label1.Text 
= userinput;
}

posted @ 2005-09-02 11:34  烈马狂生  阅读(261)  评论(0编辑  收藏  举报