XSS防范

一 简介

   Asp.net 1.1后默认提供了防范 XSS(跨站脚本攻击) 的能力, 如果发现有风险的html标签 系统会抛出一个
HttpRequestValidationExceptioin 异常,

二 使用

   1.可以设置 validateRequest=false 来禁用这个特性,
   2.可用如下方法捕获该错误并对其进行处理: [请切记关闭后需自行编辑代码处理危险字符]

以下是引用片段：
protected void Page_Error(object sender, EventArgs e)
{
Exception ex = Server.GetLastError();
if (ex is HttpRequestValidationException)
{
Response.Write("请您输入合法字符串。");
Server.ClearError(); // 如果不ClearError()这个异常会继续传到Application_Error()。
}
}

    3.自行编写代码处理危险字符可以采用 "默认禁止,显式允许"的策略。即先将输入用HtmlEncode()来编码,然后再用Replace()替换出安全标签

4.根据微软提供的建议，我们要慎重允许下列HTML标签，因为这些HTML标签都是有可能导致跨站脚本攻击的。

以下是引用片段：

<applet>

<body>

<embed>

<frame>

<script>

<frameset>

<html>

<iframe>

<img>

<style>

<layer>

<link>

<ilayer>

<meta>

<object>

可能这里最让人不能理解的是<img>。但是，看过下列代码后，就应该明白其危险性了。

以下是引用片段：
<img src="javascript:alert(''hello'');">
<img src="java script:alert(''hello'');">
<img src="java script:alert(''hello'');">

通过<img>标签是有可能导致Javascript执行的，这样攻击者就可以做他想伪装的任何事情。
关于<style>也是一样：

以下是引用片段：
<style TYPE="text/javascript">...
alert(''hello'');
</style>