aminmorteza
سه شنبه 05 دی 1391, 21:59 عصر
سلام دوستان بنده میخوام از antixss مایکروسافت استفاده کنم چند سوال برام پیش آمده از دوستان هرکسی هر کدوم یک از سوالات رو بلدید ممنون میشم جواب بدهید
بنده متوجه نشدم که کد مخربی که هکر وارد میکنه سمت کلاینت اجرا میشه یا سمت سرور اگه سمت سرور اجرا بشه مگه تویه code behind کد جاوااسکریپت میتونه اجرا بشه؟
اصلا فلسفه استفاده از Encode.HtmlEncode چیه؟مثلا بنده میخوام کدی که توسط html Editor ایجاد شده رو تویه صفحه نمایش بدم که شامل تگ های html و یا اینکه کدهای مخرب هستش.وقتی از Encoder.HtmlEncode استفاده میکنم تمام تگ های html رو تویه صفحه نمایش میده.البته میدونم که برای همین کار هستش که کدی اجرا نشه ولی خوب برای نمایش امن اطلاعاتی که شامل تگ های html و یا کدهای مخرب هستش باید چیکار کرد؟
اگه از literal استفاده کنیم و درون اون شامل تگ های a , غیره هستش آیا دیگه نیازی به Encode.HtmlEncode هستش و یا استفاده از Encode.HtmlAttrebuteEncode برای تگ a؟
چه طوری میشه white list برای کتابخانه HtmlSanitizationLibrary.dll ایجاد کرد بنده تویه سایتم از getSafeHtmlFragment استفاده کردم که تمامی تگ ها رو حذف میکنه؟
چه موقع باید از javascriptEncode استفاده کنیم؟
cat += "<div><a href=\"/Category/{0}/Page/1\">{1}({2})</a></div>";
cat = string.Format(cat, item.CategoryID, Microsoft.Security.Application.Encoder.HtmlAttribu teEncode(item.Title), countofcategory.ToString());
بنده خودم به صورت دستی کدهای html رو ایجاد میکنم و سپس توسط یک literal اون رو تویه صفحه نمایش میدم حالا کدی که بالا نوشتم درست هستش و آیا با وجود لیترال آیا نیاز با استفاده از HtmlAttributeEncode برای تگ a هسشت یا خیر.ممنون از شما
بنده متوجه نشدم که کد مخربی که هکر وارد میکنه سمت کلاینت اجرا میشه یا سمت سرور اگه سمت سرور اجرا بشه مگه تویه code behind کد جاوااسکریپت میتونه اجرا بشه؟
اصلا فلسفه استفاده از Encode.HtmlEncode چیه؟مثلا بنده میخوام کدی که توسط html Editor ایجاد شده رو تویه صفحه نمایش بدم که شامل تگ های html و یا اینکه کدهای مخرب هستش.وقتی از Encoder.HtmlEncode استفاده میکنم تمام تگ های html رو تویه صفحه نمایش میده.البته میدونم که برای همین کار هستش که کدی اجرا نشه ولی خوب برای نمایش امن اطلاعاتی که شامل تگ های html و یا کدهای مخرب هستش باید چیکار کرد؟
اگه از literal استفاده کنیم و درون اون شامل تگ های a , غیره هستش آیا دیگه نیازی به Encode.HtmlEncode هستش و یا استفاده از Encode.HtmlAttrebuteEncode برای تگ a؟
چه طوری میشه white list برای کتابخانه HtmlSanitizationLibrary.dll ایجاد کرد بنده تویه سایتم از getSafeHtmlFragment استفاده کردم که تمامی تگ ها رو حذف میکنه؟
چه موقع باید از javascriptEncode استفاده کنیم؟
cat += "<div><a href=\"/Category/{0}/Page/1\">{1}({2})</a></div>";
cat = string.Format(cat, item.CategoryID, Microsoft.Security.Application.Encoder.HtmlAttribu teEncode(item.Title), countofcategory.ToString());
بنده خودم به صورت دستی کدهای html رو ایجاد میکنم و سپس توسط یک literal اون رو تویه صفحه نمایش میدم حالا کدی که بالا نوشتم درست هستش و آیا با وجود لیترال آیا نیاز با استفاده از HtmlAttributeEncode برای تگ a هسشت یا خیر.ممنون از شما