Ez a cikk egy tükör gépi fordítás, kérjük, kattintson ide, hogy ugorjon az eredeti cikkre.

Architect_Programmer_Code Mezőgazdasági Hálózat»Építész Programozás .Net/C # ASP.NET MVC XSS Veszélyes Tartalom Validációját (ValidateInput) kéri ...
Nézet: 3317|Válasz: 2

[Forrás] ASP.NET MVC XSS Dangerous Content Validation-t kér (ValidateInput)

[Linket másol]
Közzétéve 2023. 07. 08. 22:05:07 | | | |
Követelmények: A forráskód kinyerése ASP.NET MVC-ben, hogy érvényesítse a potenciálisan veszélyes adatokat a kérelmezési űrlapon. Egyszerűen fogalmazva, igazolja, hogy a kért adat tartalmaz-e keresztoldali szkript-tartalmat (XSS),Az XSS alapértelmezettől blokkolva van az MVC-ben

A keresztoldali szkriptelések (XSS) egy biztonsági sebezhetőség, amely bizonyos webalkalmazásokban megtalálható. Az XSS támadások lehetővé teszik a támadók számára, hogy kliensoldali szkripteket injektáljanak más felhasználók által megtekintett weboldalakra. A támadók kihasználhatják a weboldalakon átívelő szkript-sebezhetőséget, hogy megkerüljék a hozzáférési ellenőrzéseket, például az azonos eredetű szabályzatokat.

ValidateInput: Átadja a Cookie, Form és QueryString tulajdonságokon keresztül elérhető gyűjtemények ellenőrzését. kelleneHttpRequestAz osztály a bemeneti validációs zászlót használja annak nyomon követésére, hogy a lekérdezés elvégzik-e olyan kérések gyűjteményét, amelyek a Cookies tulajdonságformán keresztül érnek hozzá a QueryStringhez.

public void ValidateInput() {
            Nem logikus, hogy ezt többször hívjuk egy kérés alatt.
            Ráadásul, ha az elismerést elnyomták, most nem operál.
            if (ValidateInputWasCalled || RequestValidationSuppressed) {
                visszatérés;
            }

            _Zászlók. Set(hasValidateInputBeenCalled);

            Ez azért van, hogy megakadályozza bizonyos XSS (cross site scripting) támadásokat (ASURT 122278)
            _Zászlók. set(needToValidateQueryString);
            _Zászlók. Set(needToValidateForm);
            _Zászlók. Set(needToValidateCookies);
            _Zászlók. Set(needToValidatePostedFiles);
            _Zászlók. set(needToValidateRawUrl);
            _Zászlók. Set(needToValidatePath);
            _Zászlók. Set(needToValidatePathInfo);
            _Zászlók. Set(needToValidateHeaders);
        }

Dokumentáció:A hiperlink bejelentkezés látható.

Potenciálisan veszélyes adatok validálása:HttpRequest -> ValidateString -> CrossSiteScriptingValidation.IsDangerousString, ahogy az alábbi ábrán látható:



Forráskód cím:

A hiperlink bejelentkezés látható.
A hiperlink bejelentkezés látható.

Másold le a forráskódot a projektedbe, és teszteld az alábbiakban:



Forrás:


Ha valóban veszélyes tartalmat szeretnél kapni, használhatod az Request.Unvalidated.Form formát

(Vége)




Előző:ASP.NET MVC az összes interfész címet visszatükrözéssel kapja meg
Következő:.NET/C# a SqlConnectionStringBuilder segítségével hasonlítja össze az adatbázis-kapcsolatokat

Kapcsolódó bejegyzések
 Háziúr| Közzétéve 2023. 07. 08. 22:06:32 |
AllowHtmlAttribute osztály: Lehetővé teszi, hogy a kérések HTML jelölést vegyenek be a modellkötés során, azáltal, hogy kihagyják az attribútumok kérésének validálását. (Erősen ajánlott, hogy az alkalmazások kifejezetten ellenőrizzék az összes olyan modellt, amely letiltja a kérések validálását, hogy megakadályozzák a szkripttámadásokat.) )

https://learn.microsoft.com/zh-c ... .allowhtmlattribute
 Háziúr| Közzétéve 2023. 07. 08. 22:06:49 |
A ValidateAntiForgeryToken és az AutoValidateAntiforgeryToken hamisítás elleni címkék részletesen ismertethetők
https://www.itsvse.com/thread-9568-1-1.html
Lemondás:
A Code Farmer Network által közzétett összes szoftver, programozási anyag vagy cikk kizárólag tanulási és kutatási célokra szolgál; A fenti tartalmat nem szabad kereskedelmi vagy illegális célokra használni, különben a felhasználók viselik az összes következményet. Az oldalon található információk az internetről származnak, és a szerzői jogi vitáknak semmi köze ehhez az oldalhoz. A fenti tartalmat a letöltés után 24 órán belül teljesen törölni kell a számítógépéről. Ha tetszik a program, kérjük, támogassa a valódi szoftvert, vásároljon regisztrációt, és szerezzen jobb hiteles szolgáltatásokat. Ha bármilyen jogsértés történik, kérjük, vegye fel velünk a kapcsolatot e-mailben.
Mail To:help@itsvse.com