随笔分类 - AntiXSS
摘要:1:Form提交模式 在使用Form提交时,MVC框架提供了一个默认的机制。如果数据中含有恶意字,则会自动转向出错页面。 2:Ajax+JSON提交模式。 MVC框架未提供对于Json数据的AntiXSS支持,所以必须自行实现。 Step1:定义一个Attribute[AllowHtml],如果有这
阅读全文
摘要:XSS跨站脚本攻击 是指用户输入HTML编码对网站进行跨站攻击。 通过使用FCKeditor、FreeTextBox、Rich TextBox、Cute Editor、TinyMCE等等Html编辑器,用户可以输入一些危险字符,注入到网站中,形式XSS。 (一般的解决办法是使用BBCode的方法,但
阅读全文
摘要:跨站脚本攻击(Cross-Site Scripting),是一种网站应用程序的安全漏洞,是代码注入攻击的一种。 XSS的种类: 反射型XSS: 非持久型XSS(需要自行触发,输入-输出)。 从目标服务器通过错误信息、搜索结果等等方式“反射”出来的。 非持久性:这种攻击方式往往只具有一次性。 方式:攻
阅读全文
摘要:在<system.web>节点添加:<httpRuntime encoderType="Microsoft.Security.Application.AntiXSSEncoder,AntiXssLibrary"/>
阅读全文
