javascript脚本流入
日期:2014-05-17 浏览次数:20481 次
javascript脚本注入
发现csdn能防javascript脚本注入,但不理解原理,再试试
<script language="javascript" type="text/javascript">
alert("hehe!");
</script>
大家给点看法。
------解决方案--------------------
看看这个攻击试试:
步骤:
1 对网页的源代码分析,分析感兴趣的部分;
2 打开该页面,清空url,敲入javascript:#command#,回车;
3 获取你想要的东西,查看或修改。
举个例子,用这种方法就可以用轻松的跳过一些网站的验证信息,而进入你想进入的页面。(前提:该网站仅仅用cookie来验证用户已经登陆)
------解决方案--------------------
分析得有道理。
不过这个过滤,应该不至这么一个关键词的。
多得去了。
------解决方案--------------------
简单替换
Regex.Replace(str, "<", "<") 替换<
------解决方案--------------------
应该是使用正则,对诸如<xxx>sss</xxx>之类的字符进行过滤
------解决方案--------------------
validateRequest="true"
或通过正则替换字符
使用HtmlEncode对不安全的输出编码
参考
发现csdn能防javascript脚本注入,但不理解原理,再试试
<script language="javascript" type="text/javascript">
alert("hehe!");
</script>
大家给点看法。
------解决方案--------------------
看看这个攻击试试:
步骤:
1 对网页的源代码分析,分析感兴趣的部分;
2 打开该页面,清空url,敲入javascript:#command#,回车;
3 获取你想要的东西,查看或修改。
举个例子,用这种方法就可以用轻松的跳过一些网站的验证信息,而进入你想进入的页面。(前提:该网站仅仅用cookie来验证用户已经登陆)
------解决方案--------------------
分析得有道理。
不过这个过滤,应该不至这么一个关键词的。
多得去了。
------解决方案--------------------
简单替换
Regex.Replace(str, "<", "<") 替换<
------解决方案--------------------
应该是使用正则,对诸如<xxx>sss</xxx>之类的字符进行过滤
------解决方案--------------------
validateRequest="true"
或通过正则替换字符
使用HtmlEncode对不安全的输出编码
参考
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
