正在加载中...
信息详页
返回asp项目中如何防止xss攻击
asp中防止xss攻击的方法如下:
1. 确保所有输出内容都经过 html 编码。
2. 禁止用户提供的文本进入任何 html 元素属性字符串。
3. 根据 msdn.microsoft.com/library/3yekbd5b 中的概述,检查 request.browser,以阻止应用程序使用 internet explorer 6。
4. 了解控件的行为以及其输出是否经过 html 编码。如果未经过 html 编码,则对进入控件的数据进行编码。
5. 使用 microsoft 防跨站点脚本库 (antixss) 并将其设置为您的默认 html 编码器。
6. 在将 html 数据保存到数据库之前,使用 antixss sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用 getsafehtml 或 getsafehtmlfragment;不要在保存数据之前对数据进行编码。
1. 确保所有输出内容都经过 html 编码。
2. 禁止用户提供的文本进入任何 html 元素属性字符串。
3. 根据 msdn.microsoft.com/library/3yekbd5b 中的概述,检查 request.browser,以阻止应用程序使用 internet explorer 6。
4. 了解控件的行为以及其输出是否经过 html 编码。如果未经过 html 编码,则对进入控件的数据进行编码。
5. 使用 microsoft 防跨站点脚本库 (antixss) 并将其设置为您的默认 html 编码器。
6. 在将 html 数据保存到数据库之前,使用 antixss sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用 getsafehtml 或 getsafehtmlfragment;不要在保存数据之前对数据进行编码。
7. 对于 web 窗体,不要在网页中设置 enablerequestvalidation=false。遗憾的是,web 上的大多数用户组文章都建议在出现错误时禁用该设置。该设置的存在是有原因的,例如,如果向服务器发送回“
Function Checkxss(byVal ChkStr)
Dim Str
Str = ChkStr
If IsNull(Str) Then
CheckStr = ""
Exit Function
End If
Str = Replace(Str, "&", "&")
Str = Replace(Str, "'", "′")
Str = Replace(Str, """", """)
Str = Replace(Str, "<", "<")
Str = Replace(Str, ">", ">")
Str = Replace(Str, "/", "/")
Str = Replace(Str, "*", "*")
Dim re
Set re = New RegExp
re.IgnoreCase = True
re.Global = True
re.Pattern = "(w)(here)"
Str = re.Replace(Str, "$1here")
re.Pattern = "(s)(elect)"
Str = re.Replace(Str, "$1elect")
re.Pattern = "(i)(nsert)"
Str = re.Replace(Str, "$1nsert")
re.Pattern = "(c)(reate)"
Str = re.Replace(Str, "$1reate")
re.Pattern = "(d)(rop)"
Str = re.Replace(Str, "$1rop")
re.Pattern = "(a)(lter)"
Str = re.Replace(Str, "$1lter")
re.Pattern = "(d)(elete)"
Str = re.Replace(Str, "$1elete")
re.Pattern = "(u)(pdate)"
Str = re.Replace(Str, "$1pdate")
re.Pattern = "(\s)(or)"
Str = re.Replace(Str, "$1or")
re.Pattern = "(\n)"
Str = re.Replace(Str, "$1or")
'----------------------------------
re.Pattern = "(java)(script)"
Str = re.Replace(Str, "$1script")
re.Pattern = "(j)(script)"
Str = re.Replace(Str, "$1script")
re.Pattern = "(vb)(script)"
Str = re.Replace(Str, "$1script")
'----------------------------------
If Instr(Str, "expression") > 0 Then
Str = Replace(Str, "expression", "e-xpression", 1, -1, 0) '防止xss注入
End If
Set re = Nothing
Checkxss = Str
End Function
使用方法:Checkxss(request.QueryString("变量")),或者Checkxss(request.form("表单名"))。