2009-10-01 6 views
1

this 문서에서 교차 사이트 스크립팅 공격의 위험이 있으므로 공개 사이트에서 Ajax Control Toolkit의 Editor 컨트롤을 사용하지 않는 것이 좋습니다. 나는 그것을 시험해 보았고 특별히 NoScript = "true"로 설정해도 스크립트를 추가 할 수 있었고 따라서 XSS 공격 취약점을 소개했다. 제 상황에서 우리는 장학금 신청 과정을 진행하고 있으며,이를 모든 후보자에게 온라인으로 에세이를 입력하기를 희망했습니다. 우리는 데이터를 가져 와서 검토위원회에 다시 표시하고 싶었지만 분명히 나쁜 생각입니다.Ajax Control Toolkit Editor 제어 - XSS 공격 방지

그래서 코드 숨김에서 사용할 수있는 CustomValidator 또는 정규 표현식을 사용하여 HTML이 가능하지만 스크립트는 허용하지 않는 간단한 방법을 아는 사람이 있는지 궁금합니다. 화이트리스트 유효성 검사와 블랙리스트 유효성 검사를하는 것이 더 낫다는 것을 알고 있습니다.

다른 방법으로 XSS 공격으로부터 보호 할 수있는 비슷한 컨트롤을 알고있는 사람이라면 좋을 것입니다.

답변

4

최신 AntiXSS 라이브러리는 이제 원하는대로 할 수있는 HTML sanitisation을 수행합니다. 그것에 Blowdart의 블로그를보십시오 here.

UPDATE 2015년 9월 15일 다음 AntiXSS이 .Net 4.0 Framework 해내 고있어
, 당신의 .config 파일에 수 있습니다.

+0

고맙습니다! 나는 지금 그것을 조사하고있다. – David

+0

사람이 한 번 이상 투표 할 수없는 것은 너무 나쁩니다. 이것은 멋지다. 나는 결코 전에 이것을 들여다 보지 못했다고 나는 믿을 수 없다. 난 항상 내 입력을 sanitize 및 적용 가능한 HtmlEncode 사용하여 유효성 검사를 사용하여 붙어 있지만 이것은 더 나은 ... 더 나은 성능, 플러스 새로운 GetSafeHtmlFragment() 함수는이 시나리오에서 작동합니다! 다시 감사합니다! – David

+0

나는 위생 조치를 취하지 않고 모든 예방 조치를 취하지 않을 것입니다. 이것은 가지고있는 좋은 추가 도구 일뿐입니다. – David