Межсайтовый скриптинг в глобальном масштабе

Question

Межсайтовый скриптинг в глобальном масштабе

В нашем приложении у нас есть класс GlobalPage.cs эта страница наследуется от Page у нас есть переопределения загрузки страниц и прочее. Мы обратили наше внимание на то, что нам нужно добавить некоторую безопасность на наши страницы, которые содержат текстовые поля (некоторые из них являются текстовыми полями asp, а другие - вводом html). То, что мы хотим сделать, - это иметь возможность проверять все эти поля глобально из одного места, а не делать это по отдельности на каждой странице. Как мы можем достичь этого, возможно, используя GlobalPage.cs?

Буду признателен за любой вклад или помощь в том, что можно сделать.

0

c# asp.net cross-site

Источник

user1416156 12 июл '12 в 18:07

1 ответ

Решение

Другие вопросы по тегам c# asp.net cross-site

user477420 12 июл '12 в 18:19 2012-07-12 18:19 · Accepted Answer · 2012-07-12 18:19

Уже есть встроенная защита от вредоносного ввода. Убедитесь, что вы не выключили его.

<pages validateRequest="true"...>

Поступающие значения сами по себе не являются проблемой для XSS. Это рендеринг не экранированных значений, который вызывает проблемы. Таким образом, хотя очистка входных данных несколько полезна, нет замены правильному кодированию выходных данных.

Подумайте о том, чтобы прочитать существующую информацию о защите XSS в ASP.Net, например, Как: Защитить от атак внедрения в ASP.NET (2.0, обратите внимание, что в 4.0 есть изменения - Проверка запросов ASP.NET).