javascript脚本注入
发现csdn能防javascript脚本注入,但不理解原理,再试试
<script language="javascript" type="text/javascript">
alert("hehe!");
</script>
大家给点看法。
------解决方案--------------------看看这个攻击试试:
步骤:
1 对网页的源代码分析,分析感兴趣的部分;
2 打开该页面,清空url,敲入javascript:#command#,回车;
3 获取你想要的东西,查看或修改。
举个例子,用这种方法就可以用轻松的跳过一些网站的验证信息,而进入你想进入的页面。(前提:该网站仅仅用cookie来验证用户已经登陆)
------解决方案--------------------分析得有道理。
不过这个过滤,应该不至这么一个关键词的。
多得去了。
------解决方案--------------------简单替换
Regex.Replace(str, "<", "<") 替换<
------解决方案--------------------应该是使用正则,对诸如<xxx>sss</xxx>之类的字符进行过滤
------解决方案--------------------validateRequest="true"
或通过正则替换字符
使用HtmlEncode对不安全的输出编码
参考