asp.net 防止js脚本流入的方法
日期:2014-05-17 浏览次数:20434 次
asp.net 防止js脚本注入的方法
前天,写的系统被测评。测评的人在我的页面textbox输入 <script>alert("test")</script> 内容。刷新页面这个脚本被执行弹出对话框。大家帮忙出出注意,这个最佳解决方案是啥
------解决方案--------------------
但是假设说你允许输入html,那么就要另外处理。比如说你允许用户输入<h1></h1>这样的,并且作为html来解析,那么就要另外下点功夫去查找脚本代码(并不是全都在<script />中的。
使用ubb当然简单哆啦,只不过不太支持所见即所得的方式。
如果你的web界面上支持rtf之类的,例如silverlight的TextBlock等许多对象都支持RTF,再配合一个RTF编辑器,可以杜绝这类问题。
------解决方案--------------------
replace("<","")
前天,写的系统被测评。测评的人在我的页面textbox输入 <script>alert("test")</script> 内容。刷新页面这个脚本被执行弹出对话框。大家帮忙出出注意,这个最佳解决方案是啥
------解决方案--------------------
但是假设说你允许输入html,那么就要另外处理。比如说你允许用户输入<h1></h1>这样的,并且作为html来解析,那么就要另外下点功夫去查找脚本代码(并不是全都在<script />中的。
使用ubb当然简单哆啦,只不过不太支持所见即所得的方式。
如果你的web界面上支持rtf之类的,例如silverlight的TextBlock等许多对象都支持RTF,再配合一个RTF编辑器,可以杜绝这类问题。
------解决方案--------------------
replace("<","")
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
