m.hamidreza
شنبه 28 اردیبهشت 1387, 13:06 عصر
برای محافظت در برابر حملات XSS جناب راد (http://barnamenevis.org/forum/member.php?u=7945)دو تا راهکار رو معرفی کردن :
استفاده از Reqular Expressions
کد کردن مقادیر ورودی
دو تا سوال :
در روش اول اگه کاربر JavaScript مرورگر رو غیرفعال میکنه مشکل ایجاد میشه که اینو میشه با دستور
Context.Request.Browser.JavaScriptبر طرف کرد ولی در حالتی که توی FireFox از Webdeveloper استفاده کنه و از اون طریق جاوااسکریپت رو بیاد Disable کنه دیگه هیچی تعطیل میشه میره ! این مساله رو چه جوری میشه حل کرد ؟
---------
من وقتی یه اسکریپت رو در حالت معمول تو یه TextBox مینویسم چرا اسکریپته Run نمیشه ؟ این پیغام رو میده :
A potentially dangerous Request.Form value was detected from the client چند تا سمپل در مورد Anti XSS دیدم تو همش اسکریپت run میشد ! بعد میمومد از AntiXSS.HtmlEncode استفاده میکرد ، منتها من هر کاری میکنم باز همین error میاد .
از متد HtmlEncode کلاس HttpUtility هم استفاده کردم (در هنگام درج تو db) ولی باز هم همین error میاد (البته وقتی اسکریپت مینوسیم تو Textbox)!
استفاده از Reqular Expressions
کد کردن مقادیر ورودی
دو تا سوال :
در روش اول اگه کاربر JavaScript مرورگر رو غیرفعال میکنه مشکل ایجاد میشه که اینو میشه با دستور
Context.Request.Browser.JavaScriptبر طرف کرد ولی در حالتی که توی FireFox از Webdeveloper استفاده کنه و از اون طریق جاوااسکریپت رو بیاد Disable کنه دیگه هیچی تعطیل میشه میره ! این مساله رو چه جوری میشه حل کرد ؟
---------
من وقتی یه اسکریپت رو در حالت معمول تو یه TextBox مینویسم چرا اسکریپته Run نمیشه ؟ این پیغام رو میده :
A potentially dangerous Request.Form value was detected from the client چند تا سمپل در مورد Anti XSS دیدم تو همش اسکریپت run میشد ! بعد میمومد از AntiXSS.HtmlEncode استفاده میکرد ، منتها من هر کاری میکنم باز همین error میاد .
از متد HtmlEncode کلاس HttpUtility هم استفاده کردم (در هنگام درج تو db) ولی باز هم همین error میاد (البته وقتی اسکریپت مینوسیم تو Textbox)!