XSS攻击(跨站脚本攻击)的概念:

  用户通过网站页面的输入框植入自己的脚本代码,来获取额外的信息。

XSS的实现方式:

  (1)通过用户将恶意的脚本命令输入到网站中,而这些网站又能够接收“不干净”用户输入,称为“被动注入”,用户把“不干净”的内容输入到文本框中,并把这些内容保存到数据库中,以后再重新在页面上显示。

  (2)通过直接在页面上显示的用户输入,称为“主动注入”。用户将“不干净”的内容输入到文本框中,这些输入的内容立刻就会在屏幕上显示出来。

阻止XSS攻击:

    (1)Html编码

    大部分情况下,使用简单的HTML编码就可以避免XSS -- 服务器通过这个过程将HTML保留字符(如 “<” 和 “>” )替换为特殊编码。对于ASP.NET MVC而言,只需要在视图中使用Html.Encode和Html.AttributeEncode方法就可以实现对特性值的“编码”替换。

谨记:永远不要信任用户能够接触到的或者使用的一切数据,其中包括所有的表单值、Url、cookie或来自第三方源(如OpenID)的个人信息。此外,网站所访问的数据库或服务可能没有对这些数据进行编码,所以不要相信输入应用程序的任何数据,要尽可能地对它们进行编码。

    (2)JavaScript编码

    Html编码不能阻止注入的JavaScript执行。

    解决方法:   (1)使用Ajax.JavaScriptStringEncode辅助方法对JavaScript中使用的字符串进行编码,这与Html.Encode方法进行编码是类似的

          (2)使用AntiXSS库

              AntiXSS库可以为ASP.NET应用程序增加一层额外的防护,它的工作机制与ASP.NET和ASP.NET MVC的编码机制相比有几点重要差异,主要是如下两点:

                (1)AntiXSS使用一个新人字符的白名单,而ASP.NET的默认实现使用一个有限的不信任字符的黑名单。AntiXSS只允许已知安全的输入,因此它只提供安全性能要炒锅视图组织潜在有害输入的过滤器。

                (2)AntiXSS库的中点是组织应用程序中的安全漏洞,而ASP.NET编码主要关注防止HTML页面的显示不被破坏。

              要使用AntiXSS库,只需要在web.config的httpRuntime中添加如下代码:

                <httpRuntime encoderType="System.Web.Security.AntiXss.AntiXssEncoder,System.Web, Version=4.0.0.0,Culture=neutral, PublishKeyToken=b03f5f7f11d50a3a" />

              或者安装AntiXSS NuGet包。在视图中添加对Microsoft.Security.Application命名空间的引用,然后再使用Encoder.JavaScriptEncode()方法来编码。

1、Web应用程序中的安全向量 -- XSS跨站脚本攻击的更多相关文章

  1. Web 应用程序中的安全向量 – ASP.NET MVC 4 系列

           Web 程序运行在标准的.基于文本的协议(HTTP 和 HTML)之上,所以特别容易受到自动攻击的伤害.本章主要介绍黑客如何滥用应用程序,以及针对这些问题的应对措施.   威胁:跨站脚本 ...

  2. 7、Web应用程序中的安全向量 -- 使用Retail部署配置

    该方法不需要胡乱地编辑各个配置设置,而是利用了ASP.NET特性:Retail部署配置. 部署配置是服务器的machine.config文件(在%windir%\Microsoft.NET\Frame ...

  3. 6、Web应用程序中的安全向量 -- customErrors(适当的错误报告和堆栈跟踪)

    几乎所有的网站在开发过程中都在web.config文件中设置了特性<customErrors mode="off">. customErrors模式有3个可选的设置项: ...

  4. 3、Web应用程序中的安全向量 -- cookie盗窃

    作为用户,为了防止cookie盗窃,可以在浏览器设置中选择"禁用cookie",但是这样做很可能导致在访问某个站点的时候弹出警告"该站点必须使用cookie". ...

  5. 5、Web应用程序中的安全向量 -- Open Redirect Attack(开放重定向)

    开放重定向攻击的概念:那些通过请求(如查询字符串和表单数据)指定重定向URL的Web应用程序可能会被篡改,而把用户重定向到外部的恶意URL. 在执行重定向之前需先检查目标地址的有效性,可使用Url.I ...

  6. 2、Web应用程序中的安全向量 -- CSRF/XSRF(跨站请求伪造)

    CSRF的概念可以分为两类:XSS和混淆代理. 混淆代理中的"代理"是指用户的浏览器.CSRF是基于浏览器的工作方式运作的.用户登录到一个站点后,用户的信息将会存储在cookie中 ...

  7. 4、Web应用程序中的安全向量 -- over-posting(重复提交)

    模型绑定是ASP.NET MVC提供的强大功能,可遵照命名约定将输入元素映射到模型属性,从而极大地简化了处理用户输入的过程,然而,这也成为了攻击的另一种没接,给攻击者提供了一个填充模型属性的机会,右下 ...

  8. 在 ASP.NET MVC Web 应用程序中输出 RSS Feeds

    RSS全称Really Simple Syndication.一些更新频率较高的网站可以通过RSS让订阅者快速获取更新信息.RSS文档需遵守XML规范的,其中必需包含标题.链接.描述信息,还可以包含发 ...

  9. Java嵌入式数据库H2学习总结(二)——在Web应用程序中使用H2数据库

    一.搭建测试环境和项目 1.1.搭建JavaWeb测试项目 创建一个[H2DBTest]JavaWeb项目,找到H2数据库的jar文件,如下图所示: H2数据库就一个jar文件,这个Jar文件里面包含 ...

随机推荐

  1. Python学习笔记基础篇——总览

    Python初识与简介[开篇] Python学习笔记——基础篇[第一周]——变量与赋值.用户交互.条件判断.循环控制.数据类型.文本操作 Python学习笔记——基础篇[第二周]——解释器.字符串.列 ...

  2. JavaEE XML DOM创建之DOM4J

    DOM4J创建xml文档 @author ixenos 1 写出内容到xml文档 XMLWriter writer = new XMLWriter(OutputStream, OutputForamt ...

  3. c++ 常见问题之string

    string初始化: 拷贝初始化: = 初始化变量,编译器把等号右侧的初始值拷贝到新创建的对象  string s = "stduent";    string s = s1; 直 ...

  4. C# Volatile 类

    关于C#中Volatile类的具体信息,请访问MSDN: https://msdn.microsoft.com/en-us/library/system.threading.volatile(v=vs ...

  5. js的特殊运算符

    1)三元条件运算符: c是一个布尔值,当c为true的时候,取冒号左边a的值,否取冒号右边的b的值: 2)逗号运算符: 值从左到右依次计算,取最右边的,例如例子里的val,会取最右边的值3: 特殊运算 ...

  6. iOS开发系列-九宫格算法-xib

    给大家演示 应用程序下载 小项目,效果图:涉及知识点:懒加载,九宫格算法,字典转模型,自定义UIView ,xib文件的使用 首先把素材拖到Xcode项目中:简单看一下素材文件 此时大家应该首先关注. ...

  7. java 生成二维码

    package com.sun.erwei; import java.awt.Graphics2D;import java.awt.geom.AffineTransform;import java.a ...

  8. 【Time系列三】简单的计时器(秒表)

    之前在 "for与while的洪荒之力" 中介绍到计时器,不过那样弄感觉好麻烦啊, 碰巧昨天学Java的时候,讲到求余可以用来求时间 ! for与while链接: http://w ...

  9. java学习记录

    1,接口(不实现任何方法)——>抽象类(实现部分公共方法)——>简单实现类——>具体实现类 2,抽象类不能被直接实例化,只能实现抽象方法,以匿名内部类的方式表现. 3,如果stati ...

  10. openvpn环境搭建

    以下为服务端.客户端下载安装包,在CentOS 6.5部署,也可以找到相关下载源 openvpn-2.2.2.tar.gz,openvpn-2.1.3-install.rar,(https://git ...