AJAX 제어 툴킷 편집기 컨트롤 - XSS 공격 방지
https://stackoverflow.com/questions/1503947
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
나는 눈치 채었다 이것 Microsoft가 크로스 사이트 스크립팅 공격의 위험으로 인해 공개 사이트의 Ajax Control 툴킷의 편집기 컨트롤을 사용하지 않는 기사. 시도해 보았으므로 Noscript = "True"를 구체적으로 설정하더라도 스크립트를 추가 할 수 있으므로 XSS 공격 취약점을 소개 할 수 있습니다. 제 상황에서, 우리는 장학금 신청 절차를 진행하고 있으며,이를 모든 후보자에게 사용하여 온라인 에세이를 입력하기를 희망했습니다. 우리는 데이터를 가져 와서 검토위원회에 다시 살펴보고 싶었지만 분명히 이것은 나쁜 생각입니다.
따라서 CustomValidator 또는 Code-Behind에서 사용할 수있는 정규 표현식을 사용하여 스크립트를 허용하지 않도록 컨텐츠를 검증하는 간단한 방법을 알고 있는지 궁금합니다. 나는 블랙리스트 검증이 아닌 White List Validation을 사용하는 것이 더 낫다는 것을 알고 있습니다.
또는 XSS 공격으로부터 보호하는 유사한 통제를 알고 있다면, 그다지 좋을 것입니다.
해결책
Antixss Library의 최신 릴리스는 이제 HTML 소아 화를 수행하여 원하는대로 할 것이라고 생각합니다. 살펴보십시오 블로우 다트그것에 대한 블로그 여기.
2015 년 9 월 15 일 업데이트 :
antixss가 .NET 4.0 프레임 워크, 당신의에서 그것을 활성화하십시오 .config 파일.
제휴하지 않습니다 StackOverflow
