我们的站点正面临以以下形式存在的跨脚本攻击问题 在我们的网站页面中附加链接 URL 上次攻击发生在近一个月前, 为此,我们对我们的网站进行了以下更改: 1.参数化查询 2、Html Encode的使用 3. web.config中的RequestValidation="True" 并且我们通过使用上述方法成功阻止了该攻击
一个月后我们再次受到同样的 xss 攻击
如果有人对我们可以做些什么来阻止它有任何建议?
最佳答案
xss 最常见的原因是允许将原始内容(例如用户输入的 html,包含 <script>
block )直接呈现(未转义或清理)到客户端。简单地说:不允许这样。找到任何一个:
- 在不转义的情况下呈现内容,或者
- 允许输入预期按原样显示(html 等)而不对其进行清理
并解决这个问题。对于 ASP.NET aspx,确保使用 <%:
而不是 <%=
(除非您知道内容是干净的并且打算以原始方式编写)- 因为如果合适的话,它会进行 html 编码。在 cshtml( Razor )中,@
无论如何默认进行编码。
关于.net - 通过在我们的网站中附加链接 url 进行跨脚本攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17566799/