asp项目中如何防止xss攻击_开发资料

网站首页->新闻中心开发资料

asp项目中如何防止xss攻击

来源：智睿　浏览：1753 次　发布时间：2020-05-22 17:07:04

asp中防止xss攻击的方法如下：
1. 确保所有输出内容都经过 html 编码。
2. 禁止用户提供的文本进入任何 html 元素属性字符串。
3. 根据 msdn.microsoft.com/library/3yekbd5b 中的概述，检查 request.browser，以阻止应用程序使用 internet explorer 6。
4. 了解控件的行为以及其输出是否经过 html 编码。如果未经过 html 编码，则对进入控件的数据进行编码。
5. 使用 microsoft 防跨站点脚本库 (antixss) 并将其设置为您的默认 html 编码器。
6. 在将 html 数据保存到数据库之前，使用 antixss sanitizer 对象（该库是一个单独的下载文件，将在下文中介绍）调用 getsafehtml 或 getsafehtmlfragment；不要在保存数据之前对数据进行编码。

7. 对于 web 窗体，不要在网页中设置 enablerequestvalidation=false。遗憾的是，web 上的大多数用户组文章都建议在出现错误时禁用该设置。该设置的存在是有原因的，例如，如果向服务器发送回“

Function Checkxss(byVal ChkStr)

    Dim Str
    Str = ChkStr
    If IsNull(Str) Then
        CheckStr = ""
        Exit Function
    End If

    Str = Replace(Str, "&", "&")
    Str = Replace(Str, "'", "′")
    Str = Replace(Str, """", """)
        Str = Replace(Str, "<", "<")
        Str = Replace(Str, ">", ">")
        Str = Replace(Str, "/", "/")
        Str = Replace(Str, "*", "*")

    Dim re
    Set re = New RegExp
    re.IgnoreCase = True
    re.Global = True
    re.Pattern = "(w)(here)"
    Str = re.Replace(Str, "$1here")
    re.Pattern = "(s)(elect)"
    Str = re.Replace(Str, "$1elect")
    re.Pattern = "(i)(nsert)"
    Str = re.Replace(Str, "$1nsert")
    re.Pattern = "(c)(reate)"
    Str = re.Replace(Str, "$1reate")
    re.Pattern = "(d)(rop)"
    Str = re.Replace(Str, "$1rop")
    re.Pattern = "(a)(lter)"
    Str = re.Replace(Str, "$1lter")
    re.Pattern = "(d)(elete)"
    Str = re.Replace(Str, "$1elete")
    re.Pattern = "(u)(pdate)"
    Str = re.Replace(Str, "$1pdate")
    re.Pattern = "(\s)(or)"
    Str = re.Replace(Str, "$1or")
        re.Pattern = "(\n)"
    Str = re.Replace(Str, "$1or")
        '----------------------------------
        re.Pattern = "(java)(script)"
    Str = re.Replace(Str, "$1script")
        re.Pattern = "(j)(script)"
    Str = re.Replace(Str, "$1script")
        re.Pattern = "(vb)(script)"
    Str = re.Replace(Str, "$1script")
        '----------------------------------
        If Instr(Str, "expression") > 0 Then
                Str = Replace(Str, "expression", "e-xpression", 1, -1, 0) '防止xss注入
        End If
    Set re = Nothing
    Checkxss = Str

End Function

使用方法：Checkxss(request.QueryString("变量"))，或者Checkxss(request.form("表单名"))。

【刷新页面】【加入收藏】【打印此文】【关闭窗口】

上一篇：智睿教师档案管理系统 V 7.9.0 教师档案系统,企业员工档案系统　下一篇：asp 防止XSS跨站脚本攻击方法

返回顶部
137-30664304
在线QQ咨询
智睿微信咨询