一、XSS攻击

跨域脚本攻击(Cross Site Scripting),恶意植入前端代码,比如HTML代码和客户端脚本,异常js获取用户cookie然后跳转到别的站点。

防护措施

标签转换(如“<”转换为“&lt;”  http://114.xixik.com/character/)

对于参数,可使用微软的HtmlSanitizationLibrary.dll库进行过滤掉html和js而不影响正常的数据

  string name = "<div>张三</div><script>alert(11)</script>";

         name = Sanitizer.GetSafeHtmlFragment(name);//name值变为张三


二、SQL注入


防护措施


对所有的sql语句和传入参数根据sql关键词和关键符号进行过滤替换。 


三、防止CSRF(跨网站请求伪造),只针对POST请求


  Action前加入[ValidateAntiForgeryToken(Salt ="密钥")]


  在Form表单中加入@Html.AntiForgeryToken("密钥");


四、Cookie窃取


  对用户输入进行过滤,避免被截持Cookie,避免被绕过过滤


五、其他细节


  1.CustomErrors Mode=“on",发布网站时必须为On,避免错误暴露
  2.[nonaction]锁定不开放的Action
  3.[AcceptVerbs(HttpVerbs.Post)]限定页面的访问形式
												


											
MVC安全防护的更多相关文章
	

    
								
  1. Asp.net Mvc模块化开发之“部分版本部分模块更新(上线)”
		
    项目开发从来就不是一个简单的问题.更难的问题是维护其他人开发的项目,并且要修改bug.如果原系统有重大问题还需要重构. 怎么重构系统不是本文探讨的问题,但是重构后如何上线部署和本文关系密切.这个大家可 ...
    
		
    2. 
						
  2. 【MVC 4】8.SportsSore:管理
		
    作者:[美]Adam Freeman      来源:<精通ASP.NET MVC 4> 本文将继续构建 SportsStore 应用程序,为网站管理员提供一个管理产品分类的方法.本文将添 ...
    
		
    3. 
						
  3. 网站安全通用防护代码(C#版本源码提供)
		
    每一个开发者都会意识到,网站发布之前,需要进行安全检查. 那么如何拦截攻击者注入恶意代码?如何防御诸如跨站脚本攻击(XSS).SQL注入攻击等恶意攻击行为? 针对目前常见的一些安全问题,结合目前一些常 ...
    
		
    4. 
						
  4. MVC框架模式技术实例(用到隐藏帧、json、仿Ajax、Dom4j、jstl、el等)
		
    前言: 刚刚学完了MVC,根据自己的感悟和理解写了一个小项目. 完全按照MVC模式,后面有一个MVC的理解示意图. 用MVC模式重新完成了联系人的管理系统: 用户需求: 多用户系统,提供用户注册.登录 ...
    
		
    5. 
						
  5. net Mvc模块化开发
		
    Asp.net Mvc模块化开发之“部分版本部分模块更新(上线)” 项目开发从来就不是一个简单的问题.更难的问题是维护其他人开发的项目,并且要修改bug.如果原系统有重大问题还需要重构. 怎么重构系统 ...
    
		
    6. 
						
  6. MVC 应用免受 CSRF攻击
		
    保护ASP.NET 应用免受 CSRF 攻击   CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack ...
    
		
    7. 
						
  7. Spring 4 官方文档学习 Web MVC 框架
		
    1.介绍Spring Web MVC 框架 Spring Web MVC 框架是围绕DispatcherServlet设计的,所谓DispatcherServlet就是将请求分发到handler,需要 ...
    
		
    8. 
						
  8. NET MVC全局异常处理(一)  【转载】网站遭遇DDoS攻击怎么办  使用 HttpRequester 更方便的发起 HTTP 请求  C#文件流。  Url的Base64编码以及解码   C#计算字符串长度,汉字算两个字符  2019周笔记(2.18-2.23)  Mysql语句中当前时间不能直接使用C#中的Date.Now传输  Mysql中Count函数的正确使用
		
    NET MVC全局异常处理(一)   目录 .NET MVC全局异常处理 IIS配置 静态错误页配置 .NET错误页配置 程序设置 全局异常配置 .NET MVC全局异常处理 一直知道有.NET有相关 ...
    
		
    9. 
						
  9. mvc学习-编辑提交需要注意-mvc重点
		
    示例代码: // GET: /Movies/Edit/5 public ActionResult Edit(int? id) { if (id == null) { return new HttpSt ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Eclipse开发环境JDK版本问题和校验问题
			
    今天遇到的两个问题: 1.启动程序报错:Unsupported major.minor version 52.0 这是JDK版本过低的问题,统一一下Build Path和java Complie中的版 ...
    
			
    2. 
						
  2. adb devices 偵測不到 手機
			
    現象: system 有偵測到 mobile phone, xxx@xxx-ThinkPad-T460p:~/.android$ lsusb Bus Device : ID 1d6b: Linux F ...
    
			
    3. 
						
  3. 前端必备的js知识点(转载)
			
    1.本文主体源自:http://www.cnblogs.com/coco1s/p/4029708.html,有兴趣的可以直接去那里看,也可以看看我整理加拓展的.2.js是一门什么样的语言及特点?    ...
    
			
    4. 
						
  4. Canvas电子签名和游戏化
			
    今天一天的时间都在做包团报价的无流程原型设计,一方面参考了其他系统,一方面整理先在系统中不合理的部分,规范了报价元素的分类.梳理了意向需求,其实原来粗略的放了一个模板进去是听不靠谱的.客户的要求-&g ...
    
			
    5. 
						
  5. 图说C++对象模型:对象内存布局详解
			
    0.前言 文章较长,而且内容相对来说比较枯燥,希望对C++对象的内存布局.虚表指针.虚基类指针等有深入了解的朋友可以慢慢看. 本文的结论都在VS2013上得到验证.不同的编译器在内存布局的细节上可能有 ...
    
			
    6. 
						
  6. JAVA之IO流(字符流)
			
    字符流InputStreamReader和OutputStreamWriter是Writer和Read的子类:是字节流通向字符流的桥梁,也就是可以把字节流转化为字符流. InputStreamRead ...
    
			
    7. 
						
  7. 精通Web Analytics 2.0 (11) 第九章: 新兴分析—社交,移动和视频
			
    精通Web Analytics 2.0 : 用户中心科学与在线统计艺术 第九章: 新兴分析-社交,移动和视频 网络在过去几年中发生了不可思议的发展变化:从单向对话到双向对话的转变; 由视频,Ajax和 ...
    
			
    8. 
						
  8. 北京培训记day2
			
    后缀三姐妹 P.S.后缀大家族关系:后缀自动机fail指针=后缀树,后缀树前序遍历=后缀数组 一.后缀数组:orz罗穗骞集训队论文 给每个后缀按字典序排序 rank[]表示从i开始的后缀排名多少 sa ...
    
			
    9. 
						
  9. jQuery 运行机制
			
    1.Selector,查找元素.这个查找不但包含基于CSS1~CSS3的CSS Selector功能,还包含其对直接查找或间接查找而扩展的一些功能. 2.Dom元素的属性操作.Dom元素可以看作htm ...
    
			
    10. 
						
  10. MySQL二进制日志
			
    一.二进制日志(The Binary Log) 1.简介 包含所有更新了的数据或者已经潜在更新了的数据(比如一条没有匹配任何行的delete语句) 包含所有更新语句执行时间的信息 不记录没有修改数据的 ...
    
			
    11.