Dieser Artikel ist ein Spiegelartikel der maschinellen Übersetzung, bitte klicken Sie hier, um zum Originalartikel zu springen.

Architect_Programmer_Code Landwirtschaftsnetzwerk»Architekt Programmieren .Net/C # ASP.NET MVC fordert XSS Dangerous Content Validation (ValidateInput) an ...
Ansehen: 3317|Antwort: 2

[Quelle] ASP.NET MVC fordert XSS Dangerous Content Validation an (ValidateInput)

[Link kopieren]
Veröffentlicht am 08.07.2023 22:05:07 | | | |
Anforderungen: Extrahieren Sie den Quellcode in ASP.NET MVC, um potenziell gefährliche Daten im Anforderungsformular zu validieren. Einfach ausgedrückt überprüft es, dass die angeforderten Daten Cross-Site-Scripting (XSS)-Inhalte enthalten,XSS wird standardmäßig in MVC blockiert

Cross-Site-Scripting (XSS) ist eine Sicherheitslücke, die in einigen Webanwendungen vorkommt. XSS-Angriffe ermöglichen es Angreifern, clientseitige Skripte in Webseiten einzuschleusen, die von anderen Nutzern angesehen werden. Angreifer könnten Site-übergreifende Skriptverwundbarkeiten ausnutzen, um Zugriffskontrollen wie Same-Origin-Richtlinien zu umgehen.

ValidateInput: Führt die Validierung von Sammlungen durch, die über die Eigenschaften Cookies, Form und QueryString abgerufen werden. sollenHttpRequestDie Klasse verwendet das Eingabe-Validierungsflag, um zu verfolgen, ob die Validierung bei einer Sammlung von Anfragen, die über das Cookie-Eigenschaftsformular auf die QueryString zugreifen, durchgeführt wird.

public void ValidateInput() {
            Es macht keinen Sinn, das mehrmals pro Anfrage anzurufen.
            Außerdem, falls die Validierung unterdrückt wurde, jetzt kein Operativ.
            wenn (ValidateInputWasCalled || RequestValidationSuppressed) {
                Rückgabe;
            }

            _Flaggen. Set(hasValidateInputBeenCalled);

            Dies dient dazu, einige XSS-Angriffe (Cross Site Scripting) (ASURT 122278) zu verhindern.
            _Flaggen. Set(needToValidateQueryString);
            _Flaggen. Set(needTovalidateForm);
            _Flaggen. Set(needTovalidateCookies);
            _Flaggen. Set(needToValidatePostedFiles);
            _Flaggen. Set(needToValidateRawUrl);
            _Flaggen. Set(needTovalidatePath);
            _Flaggen. Set(needToValidatePathInfo);
            _Flaggen. Set(needToValidateHeaders);
        }

Dokumentation:Der Hyperlink-Login ist sichtbar.

Validiere potenziell gefährliche Daten:HttpRequest -> ValidateString -> CrossSiteScriptingValidation.IsDangerousString, wie in der untenstehenden Abbildung dargestellt:



Quellcode-Adresse:

Der Hyperlink-Login ist sichtbar.
Der Hyperlink-Login ist sichtbar.

Kopiere den Quellcode in dein Projekt und teste ihn wie folgt:



Quelle:


Wenn du wirklich gefährliche Inhalte erhalten möchtest, kannst du Request.Unvalidated.Form verwenden

(Ende)




Vorhergehend:ASP.NET MVC erhält alle Interface-Adressen durch Reflexion
Nächster:.NET/C# verwendet SqlConnectionStringBuilder, um Datenbankverbindungen zu vergleichen

Verwandte Beiträge
 Vermieter| Veröffentlicht am 08.07.2023 22:06:32 |
AllowHtmlAttribut-Klasse: Erlaubt Anfragen, HTML-Markup während der Modellbindung einzubeziehen, indem die Anfragevalidierung für Attribute übersprungen wird. (Es wird dringend empfohlen, dass Anwendungen explizit alle Modelle überprüfen, die die Validierung von Anfragen deaktivieren, um Skriptangriffe zu verhindern.) )

https://learn.microsoft.com/zh-c ... .allowhtmlattribute
 Vermieter| Veröffentlicht am 08.07.2023 22:06:49 |
ValidateAntiForgeryToken und AutoValidateAntiforgeryToken Anti-Fälschungs-Tags werden ausführlich erklärt
https://www.itsvse.com/thread-9568-1-1.html
Verzichtserklärung:
Alle von Code Farmer Network veröffentlichten Software, Programmiermaterialien oder Artikel dienen ausschließlich Lern- und Forschungszwecken; Die oben genannten Inhalte dürfen nicht für kommerzielle oder illegale Zwecke verwendet werden, andernfalls tragen die Nutzer alle Konsequenzen. Die Informationen auf dieser Seite stammen aus dem Internet, und Urheberrechtsstreitigkeiten haben nichts mit dieser Seite zu tun. Sie müssen die oben genannten Inhalte innerhalb von 24 Stunden nach dem Download vollständig von Ihrem Computer löschen. Wenn Ihnen das Programm gefällt, unterstützen Sie bitte echte Software, kaufen Sie die Registrierung und erhalten Sie bessere echte Dienstleistungen. Falls es eine Verletzung gibt, kontaktieren Sie uns bitte per E-Mail.
Mail To:help@itsvse.com