Questo articolo è un articolo speculare di traduzione automatica, clicca qui per saltare all'articolo originale.

Architect_Programmer_Code Rete Agricola»Architetto Programmazione .Net/C # ASP.NET MVC richiede XSS Dangerous Content Validation (ValidateInput) ...
Vista: 3317|Risposta: 2

[Fonte] ASP.NET MVC richiede XSS Dangerous Content Validation (ValidateInput)

[Copiato link]
Pubblicato su 08/07/2023 22:05:07 | | | |
Requisiti: Estrarre il codice sorgente in ASP.NET MVC per validare i dati potenzialmente pericolosi nel modulo di richiesta. In parole semplici, verifica che i dati richiesti contengano contenuti cross-site scripting (XSS),XSS è bloccato di default in MVC

Il cross-site scripting (XSS) è una vulnerabilità di sicurezza che si può trovare in alcune applicazioni web. Gli attacchi XSS permettono agli attaccanti di iniettare script lato client nelle pagine web visualizzate da altri utenti. Gli attaccanti potrebbero sfruttare vulnerabilità cross-site scripting per bypassare i controlli di accesso come le policy di origine dello stesso tipo.

ValidateInput: Rilascia la validazione delle collezioni accessibili tramite le proprietà Cookie, Form e QueryString. dovereHttpRequestLa classe utilizza il flag di validazione dell'input per monitorare se la validazione viene eseguita su una raccolta di richieste che accedono alla QueryString tramite la proprietà Cookie Form.

public void ValidateInput() {
            Non ha senso chiamare questa richiesta più volte per richiesta.
            Inoltre, se la validazione è stata soppressa, non operare ora.
            if (ValidateInputWasCalled || RequestValidationSuppressed) {
                ritorno;
            }

            _Bandiere. Set(hasValidateInputBeenCalled);

            Questo serve a prevenire alcuni attacchi XSS (cross site scripting) (ASURT 122278)
            _Bandiere. Set(necessitàValidateQueryString);
            _Bandiere. Set(necessitaValidaForma);
            _Bandiere. Set(necessitàValidateCookie);
            _Bandiere. Set(necessitàValidatePostedFiles);
            _Bandiere. Set(needToValidateRawUrl);
            _Bandiere. Set(necessitaValidatoPath);
            _Bandiere. Set(necessitàValidatePathInfo);
            _Bandiere. Set(needToValidateHeaders);
        }

Documentazione:Il login del link ipertestuale è visibile.

Valida i dati potenzialmente pericolosi:HttpRequest -> ValidateString -> CrossSiteScriptingValidation.IsDangerousString, come mostrato nella figura sottostante:



Indirizzo del codice sorgente:

Il login del link ipertestuale è visibile.
Il login del link ipertestuale è visibile.

Copia il codice sorgente nel tuo progetto e testalo come segue:



Fonte:


Se vuoi davvero ricevere contenuti pericolosi, puoi usare Request.Unvalidated.Form

(Fine)




Precedente:ASP.NET MVC ottiene tutti gli indirizzi dell'interfaccia tramite riflessione
Prossimo:.NET/C# utilizza SqlConnectionStringBuilder per confrontare le connessioni al database

Post correlati
 Padrone di casa| Pubblicato su 08/07/2023 22:06:32 |
Classe AllowHtmlAttribute: Permette alle richieste di includere il markup HTML durante il binding del modello saltando la validazione delle richieste per attributi. (Si raccomanda vivamente che le applicazioni controllino esplicitamente tutti i modelli che disabilitano la validazione delle richieste per prevenire attacchi di scripting.) )

https://learn.microsoft.com/zh-c ... .allowhtmlattribute
 Padrone di casa| Pubblicato su 08/07/2023 22:06:49 |
I tag anti-contraffazione ValidateAntiForgeryToken e AutoValidateAntiforgeryToken sono spiegati in dettaglio
https://www.itsvse.com/thread-9568-1-1.html
Disconoscimento:
Tutto il software, i materiali di programmazione o gli articoli pubblicati dalla Code Farmer Network sono destinati esclusivamente all'apprendimento e alla ricerca; I contenuti sopra elencati non devono essere utilizzati per scopi commerciali o illegali, altrimenti gli utenti dovranno sostenere tutte le conseguenze. Le informazioni su questo sito provengono da Internet, e le controversie sul copyright non hanno nulla a che fare con questo sito. Devi eliminare completamente i contenuti sopra elencati dal tuo computer entro 24 ore dal download. Se ti piace il programma, ti preghiamo di supportare software autentico, acquistare la registrazione e ottenere servizi autentici migliori. In caso di violazione, vi preghiamo di contattarci via email.
Mail To:help@itsvse.com