Tämä artikkeli on konekäännöksen peiliartikkeli, klikkaa tästä siirtyäksesi alkuperäiseen artikkeliin.

Architect_Programmer_Code Maatalousverkosto»Arkkitehti Ohjelmointi .Net/C # ASP.NET MVC pyytää XSS Dangerous Content Validation (ValidateInput) ...
Näkymä: 3317|Vastaus: 2

[Lähde] ASP.NET MVC pyytää XSS Dangerous Content Validation (ValidateInput)

[Kopioi linkki]
Julkaistu 8.7.2023 22.05.07 | | | |
Vaatimukset: Poima lähdekoodi ASP.NET MVC:stä validoidaksesi mahdollisesti vaaralliset tiedot pyyntölomakkeessa. Yksinkertaisesti sanottuna se varmistaa, että pyydetyissä tiedoissa on ristiinsivustojen skriptaussisältöä (XSS),XSS on oletuksena estetty MVC:ssä

Ristiinpaikkaskriptaus (XSS) on tietoturva-aukko, joka löytyy joistakin verkkosovelluksista. XSS-hyökkäykset mahdollistavat hyökkääjien injektoida asiakaspuolen skriptejä muiden käyttäjien katsomille verkkosivuille. Hyökkääjät voisivat hyödyntää sivustojen välisiä skriptaushaavoittuvuuksia ohittaakseen pääsynvalvonnan, kuten saman alkuperän politiikat.

ValidateInput: Vahvistaa kokoelmia, joihin pääsee käsiksi Cookies-, Form- ja QueryString-ominaisuuksien kautta. pitäisiHttpRequestLuokka käyttää syötteen validointilippua seuraamaan, suoritetaanko validointi kokoelmalle pyyntöjä, jotka käyttävät QueryStringiä evästeiden ominaisuuslomakkeen kautta.

public void ValidateInput() {
            Ei ole järkevää soittaa tähän useita kertoja per pyyntö.
            Lisäksi, jos vahvistus on tukahdutettu, nyt ei ole operaatiota.
            if (ValidateInputWasCalled || RequestValidationSuppressed) {
                paluu;
            }

            _Liput. set(hasValidateInputBeenCalled);

            Tämä estää joitakin XSS-hyökkäyksiä (cross site scripting) (ASURT 122278)
            _Liput. set(needToValidateQueryString);
            _Liput. Set(needToValidateForm);
            _Liput. Set(needToValidateCookies);
            _Liput. Set(needToValidatePostedFiles);
            _Liput. set(needToValidateRawUrl);
            _Liput. Set(needToValidatePath);
            _Liput. Set(needToValidatePathInfo);
            _Liput. Set(needToValidateHeaders);
        }

Dokumentaatio:Hyperlinkin kirjautuminen on näkyvissä.

Validoi mahdollisesti vaaralliset tiedot:HttpRequest -> ValidateString -> CrossSiteScriptingValidation.IsDangerousString, kuten alla olevassa kuvassa näkyy:



Lähdekoodin osoite:

Hyperlinkin kirjautuminen on näkyvissä.
Hyperlinkin kirjautuminen on näkyvissä.

Kopioi lähdekoodi projektiisi ja testaa se seuraavasti:



Lähde:


Jos todella haluat saada vaarallista sisältöä, voit käyttää Request.Unvalidated.Formia

(Loppu)




Edellinen:ASP.NET MVC saa kaikki liitäntäosoitteet heijastuksen kautta
Seuraava:.NET/C# käyttää SqlConnectionStringBuilderia tietokantayhteyksien vertailuun

Aiheeseen liittyvät julkaisut
 Vuokraisäntä| Julkaistu 8.7.2023 22.06.32 |
AllowHtmlAttribute-luokka: Sallii pyyntöjen sisällyttää HTML-merkintää mallin sitomisen aikana ohittamalla attribuuttien pyyntövalidoinnin. (On vahvasti suositeltavaa, että sovellukset tarkistavat nimenomaisesti kaikki mallit, jotka estävät pyyntöjen validoinnin estääkseen skriptihyökkäykset.) )

https://learn.microsoft.com/zh-c ... .allowhtmlattribute
 Vuokraisäntä| Julkaistu 8.7.2023 22.06.49 |
ValidateAntiForgeryToken ja AutoValidateAntiforgeryToken -anti-counterfeiting -tunnisteet selitetään yksityiskohtaisesti
https://www.itsvse.com/thread-9568-1-1.html
Vastuuvapauslauseke:
Kaikki Code Farmer Networkin julkaisemat ohjelmistot, ohjelmamateriaalit tai artikkelit ovat tarkoitettu vain oppimis- ja tutkimustarkoituksiin; Yllä mainittua sisältöä ei saa käyttää kaupallisiin tai laittomiin tarkoituksiin, muuten käyttäjät joutuvat kantamaan kaikki seuraukset. Tämän sivuston tiedot ovat peräisin internetistä, eikä tekijänoikeuskiistat liity tähän sivustoon. Sinun tulee poistaa yllä oleva sisältö kokonaan tietokoneeltasi 24 tunnin kuluessa lataamisesta. Jos pidät ohjelmasta, tue aitoa ohjelmistoa, osta rekisteröityminen ja hanki parempia aitoja palveluita. Jos rikkomuksia ilmenee, ota meihin yhteyttä sähköpostitse.
Mail To:help@itsvse.com