網(wǎng)站建設(shè)的安全-XSS（跨站腳本攻擊）發(fā)布者：本站     時(shí)間：2020-04-07 08:04:46

XSS（跨站腳本攻擊）
引起原因：
這個(gè)也有時(shí)被人們稱作HTML注入，和sql注入原理相似，也是沒(méi)有特殊字符進(jìn)行處理。是用戶可以提交HTML標(biāo)簽對(duì)網(wǎng)站進(jìn)行重新的構(gòu)造。其實(shí)在默認(rèn)的情況下在asp.net網(wǎng)頁(yè)中是開(kāi)啟validateRequest屬性的，所有HTML標(biāo)簽后會(huì).NET都會(huì)驗(yàn)證：

但這樣直接把異常拋給用戶，多少用戶體驗(yàn)就不好。
解決方法：
（１）：通過(guò)在 Page 指令或 配置節(jié)中設(shè)置 validateRequest=false 禁用請(qǐng)求驗(yàn)證，然后我們對(duì)用戶提交的數(shù)據(jù)進(jìn)行HtmlEncode,編碼后的就不會(huì)出現(xiàn)這種問(wèn)題了（ASP.NET 中編碼方法：Server.HtmlEncode(string)）。
（２）：第二種是過(guò)濾特殊字符，這種方法就不太提倡了，如果用戶想輸入小于號(hào)（<）也會(huì)被過(guò)濾掉.