網站建設的安全-XSS（跨站腳本攻擊）發布者：本站     時間：2020-04-07 08:04:46

XSS（跨站腳本攻擊）
引起原因：
這個也有時被人們稱作HTML注入，和sql注入原理相似，也是沒有特殊字符進行處理。是用戶可以提交HTML標簽對網站進行重新的構造。其實在默認的情況下在asp.net網頁中是開啟validateRequest屬性的，所有HTML標簽后會.NET都會驗證：

但這樣直接把異常拋給用戶，多少用戶體驗就不好。
解決方法：
（１）：通過在 Page 指令或 配置節中設置 validateRequest=false 禁用請求驗證，然后我們對用戶提交的數據進行HtmlEncode,編碼后的就不會出現這種問題了（ASP.NET 中編碼方法：Server.HtmlEncode(string)）。
（２）：第二種是過濾特殊字符，這種方法就不太提倡了，如果用戶想輸入小于號（<）也會被過濾掉.