摘要:
首先,给大家贴出解决方案,很简单,只需要加一句代码就OK。context.Request.ValidateInput();最近项目中做了一个ashx的页面向其他人提供一个ajax的接口,接口调用使用到了jsonp的方式,当时也没考虑太多,直接将接收到的参数原样写回到了客户端。项目上线之后,公司安全的就呼叫我了,说这个页面没有防止跨站攻击(XSS),说可以通过什么NC反弹工具,获取用户的cookie什么的。把偶搞得云里雾里的。今天看了一下网上的跨站攻击资料,恍然大悟,不就是.net普通页面aspx默认就有的那个什么客户端输入值验证嘛。我们经常的用到网页富文本编辑器的时候出现这个错误不就是.net 阅读全文
摘要:
引言本人在.NET 4.0+VS2010环境下调试一个ASP.NET 4.0程序时使用到富文本控件FreeTextBox 3.2.2。从网络上查询得到这个控件尽管被广泛使用,但是其相关的安全问题需要自行解决。我的问题我的问题是在VS2010中使用FreeTextBox 3.2.2用于辅助发送邮件主体内容时,系统出现如下的错误提示: A potentially dangerous Request.Form. value was detected from the client (FreeTextBox1="<H1>bbtest1</H1>").Desc 阅读全文