Šis straipsnis yra veidrodinis mašininio vertimo straipsnis, spauskite čia norėdami pereiti prie originalaus straipsnio.

Architect_Programmer_Code žemės ūkio tinklas»Architektas Programavimo .net/c # ASP.NET MVC prašo XSS pavojingo turinio patvirtinimo (ValidateInput) ...
Rodinys: 3317|Atsakyti: 2

[Šaltinis] ASP.NET MVC prašo XSS pavojingo turinio patvirtinimo (ValidateInput)

[Kopijuoti nuorodą]
Paskelbta 2023-07-08 22:05:07 | | | |
Reikalavimai: Išskleiskite šaltinio kodą ASP.NET MVC, kad patvirtintumėte potencialiai pavojingus duomenis užklausos formoje. Paprasčiau tariant, jis patikrina, ar prašomi duomenys turi kelių svetainių scenarijų (XSS) turinį,XSS blokuojamas pagal numatytuosius nustatymus MVC

Kelių svetainių scenarijai (XSS) yra saugos pažeidžiamumas, kurį galima rasti kai kuriose žiniatinklio programose. XSS atakos leidžia užpuolikams įterpti kliento scenarijus į kitų vartotojų peržiūrėtus tinklalapius. Užpuolikai gali išnaudoti kelių svetainių scenarijų pažeidžiamumą, kad apeitų prieigos kontrolę, pvz., tos pačios kilmės politiką.

ValidateInput: pateikia rinkinių, pasiekiamų naudojant ypatybes Cookies, Form ir QueryString, patvirtinimą. TurėtųHttpRequestKlasė naudoja įvesties tikrinimo vėliavėlę, kad galėtų sekti, ar tikrinamas užklausų rinkinys, pasiekiantis QueryString per slapukų ypatybės formą.

public void ValidateInput() {
            Nėra prasmės skambinti kelis kartus per užklausą.
            Be to, jei patvirtinimas buvo nuslopintas, ne-op dabar.
            if (ValidateInputWasCalled || RequestValidationSuppressed) {
                grįžti;
            }

            _Vėliavos. Set(hasValidateInputBeenCalled);

            Taip siekiama užkirsti kelią kai kurioms XSS (kryžminių svetainių scenarijų) atakoms (ASURT 122278)
            _Vėliavos. Set(NeedToValidateQueryString);
            _Vėliavos. Set(NeedToValidateForm);
            _Vėliavos. Set(NeedToValidateCookies);
            _Vėliavos. Set(NeedToValidatePostedFiles);
            _Vėliavos. Set(NeedToValidateRawUrl);
            _Vėliavos. Set(NeedToValidatePath);
            _Vėliavos. Set(NeedToValidatePathInfo);
            _Vėliavos. Set(NeedToValidateHeaders);
        }

Dokumentacija:Hipersaito prisijungimas matomas.

Patikrinkite potencialiai pavojingus duomenis:HttpRequest -> ValidateString -> CrossSiteScriptingValidation.IsDangerousString, kaip parodyta toliau pateiktame paveikslėlyje:



Šaltinio kodo adresas:

Hipersaito prisijungimas matomas.
Hipersaito prisijungimas matomas.

Nukopijuokite šaltinio kodą į savo projektą ir išbandykite jį taip:



Šaltinis:


Jei tikrai norite gauti pavojingą turinį, galite naudoti Request.Unvalidated.Form

(Pabaiga)




Ankstesnis:ASP.NET MVC gauna visus sąsajos adresus per atspindį
Kitą:.NET/C# naudoja SqlConnectionStringBuilder duomenų bazių ryšiams palyginti

Susijusios žinutės
 Savininkas| Paskelbta 2023-07-08 22:06:32 |
AllowHtmlAttribute klasė: leidžia užklausoms įtraukti HTML žymėjimą susiejant modelį, praleidžiant atributų užklausų tikrinimą. (Primygtinai rekomenduojama, kad programos aiškiai patikrintų visus modelius, kurie išjungia užklausų tikrinimą, kad būtų išvengta scenarijų atakų.) )

https://learn.microsoft.com/zh-c ... .allowhtmlattribute
 Savininkas| Paskelbta 2023-07-08 22:06:49 |
Išsamiai paaiškintos "ValidateAntiForgeryToken" ir "AutoValidateAntiforgeryToken" apsaugos nuo klastojimo žymos
https://www.itsvse.com/thread-9568-1-1.html
Atsakomybės apribojimas:
Visa programinė įranga, programavimo medžiaga ar straipsniai, kuriuos skelbia Code Farmer Network, yra skirti tik mokymosi ir mokslinių tyrimų tikslams; Aukščiau nurodytas turinys negali būti naudojamas komerciniais ar neteisėtais tikslais, priešingu atveju vartotojai prisiima visas pasekmes. Šioje svetainėje pateikiama informacija gaunama iš interneto, o ginčai dėl autorių teisių neturi nieko bendra su šia svetaine. Turite visiškai ištrinti aukščiau pateiktą turinį iš savo kompiuterio per 24 valandas nuo atsisiuntimo. Jei jums patinka programa, palaikykite autentišką programinę įrangą, įsigykite registraciją ir gaukite geresnes autentiškas paslaugas. Jei yra kokių nors pažeidimų, susisiekite su mumis el. paštu.
Mail To:help@itsvse.com