日期:2014-05-17  浏览次数:20517 次

javascript脚本注入
发现csdn能防javascript脚本注入,但不理解原理,再试试

  <script language="javascript" type="text/javascript">
  alert("hehe!");
  </script>

大家给点看法。

------解决方案--------------------
看看这个攻击试试:
步骤:

1 对网页的源代码分析,分析感兴趣的部分;

2 打开该页面,清空url,敲入javascript:#command#,回车;

3 获取你想要的东西,查看或修改。

举个例子,用这种方法就可以用轻松的跳过一些网站的验证信息,而进入你想进入的页面。(前提:该网站仅仅用cookie来验证用户已经登陆)

------解决方案--------------------
分析得有道理。
不过这个过滤,应该不至这么一个关键词的。
多得去了。
------解决方案--------------------
简单替换
Regex.Replace(str, "<", "&lt;") 替换<
------解决方案--------------------
应该是使用正则,对诸如<xxx>sss</xxx>之类的字符进行过滤
------解决方案--------------------
validateRequest="true" 
或通过正则替换字符 
使用HtmlEncode对不安全的输出编码 
参考