우리의 응용 프로그램에는 GlobalPage.cs이라는 클래스가 있습니다.이 페이지는 Page에서 상속받습니다. 여기에는 페이지로드 무시가 있습니다. 우리가 텍스트 상자를 포함하는 페이지에 보안을 추가해야 할 필요가 있음을 우리는주의해야했습니다 (일부는 ASP 텍스트 상자이고 다른 것은 HTML 입력입니다). 우리가하고 싶은 일은 한 곳에서 모든 분야를 점검하고 각 페이지에서 개별적으로 점검하지 않는 것입니다. GlobalPage.cs을 사용하면 어떻게 가능합니까?전 세계의 크로스 사이트 스크립팅 조작
나는 무엇을 할 수 있는지에 대한 의견이나 도움을 주시면 감사하겠습니다.
이미 악의적 인 입력으로부터 보호 기능이 내장되어 있습니다. 당신이 그것을 끄지 않았는지 확인하십시오.
<pages validateRequest="true"...>
수신 값 자체는 XSS에서 문제가되지 않습니다. 문제를 일으키는 이스케이프되지 않은 값을 렌더링합니다. 따라서 입력을 살균하는 것이 다소 유용하지만 올바른 출력 인코딩을 대체 할 수는 없습니다.
ASP.Net에서 XSS 보호에 대한 기존 정보를 How To: Protect From Injection Attacks in ASP.NET (2.0, 변경 사항은 4.0 - ASP.NET Request Validation임을 유의하십시오.)과 같이 검토하십시오.
안녕하세요, 저는 이미 이것을 통과했습니다. 아직 모든 기능을 사용할 수 있습니다. 아직 asp does.net에서 확인하지 못하는 입력이 있습니다. 전자 메일 입력 "[email protected]"에서 수행 할 수 있습니다. onMouseOver = alert (222) // 그런 다음 마우스로 링크를 생성하면 – user1416156
@user1416156이 나옵니다. 따라서 코드의 "올바른 인코딩 인코딩"에 대한 리뷰와 수정을 완료 했는데도 여전히 문제가 있습니까? 이상하게 들린다. HTML 렌더링 코드의 가능한 모든 변형이 입력 값을 기반으로 HTML을 렌더링 할 때 XSS 오류를 발생시키지 않도록 입력을 검증 할 수있는 방법이 없습니다. 사용자 입력에서 오는 모든 값을 예외없이 그 단축키. –
기본적으로 우리는 asp 유효성 검사 및 일부 입력란의 유효성을 검사하지만 일부 누락 된 유효성 검사가 있으므로 모든 JavaScript 또는 html 태그 또는 공격에 대한 입력을 확인하기 위해 전역 페이지에 무언가를 만들고 싶습니다. – user1416156
어떤 종류의 수표입니까? 어떻게 이것이 작동한다고 상상합니까? – Oded
내가 좋아하는 상상, 사람이 입력을 somepign mypage.aspx, 그래서 GlobalPage.cs로드 또는 제출 프로세스를 통해 나는이 한 곳에서 특정 입력을 확인하고 싶습니다 태그 등 html 확인하십시오. 인코딩합니다. – user1416156
기본 페이지에서'page_load'를 무시하고 유효한 양식 요소를 확인할 수는 있지만 상당히 느려질 수 있습니다. – Oded