Ajax تحكم أدوات تحكم محرر - تجنب هجمات XSS
https://stackoverflow.com/questions/1503947
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لقد لاحظت في هذه مقال أن Microsoft لا توصي باستخدام عنصر تحكم المحرر من مجموعة أدوات التحكم AJAX في المواقع العامة بسبب خطر هجمات البرمجة النصية عبر الموقع. جربت ذلك، وحتى إذا قمت بتعيين noscripted على وجه التحديد = "صحيح"، فمن الممكن إضافة البرنامج النصي، وبالتالي إدخال نقاط الضعف XSS الهجوم. في وضعي، نحن نعمل على عملية طلب منحة دراسية، وكاننا نأمل في استخدام هذا لجميع المرشحين لكسب مقال عبر الإنترنت. أردنا أن نأخذ البيانات وإعادة عرضها إلى لوحة المراجعة، ولكن من الواضح أن هذه فكرة سيئة.
لذلك أنا أتساءل ما إذا كان أي شخص يعرف طريقة بسيطة للتحقق من صحة المحتوى للسماح ب HTML، ولكن ليس البرنامج النصي، وربما باستخدام CustomValidator أو تعبير منتظم يمكنني استخدامه في الكود الخلف. أنا أدرك أنه من الأفضل التحقق من صحة القائمة البيضاء وعدم التحقق من صحة القائمة السوداء، "م تبحث خصيصا عن ذلك.
بدلا من ذلك، إذا كان أي شخص يدرك سيطرة مماثلة تقوم بحماية من هجمات XSS، فسيكون ذلك جيدا أيضا.
المحلول
أحدث إصدار من مكتبة Antixss الآن يفعل الآن بعض Sanitation HTML الذي أعتقد أنه سيفعل ما تريد. القي نظرة على سهم يطلق بواسطة النفخمدونة على ذلك هنا.
تحديث 15 سبتمبر 2015:
توالت Antixss في .NET 4.0 Framework., ، تمكنها في حياتك .config ملف.
