| |
| 这类脚本攻击已经过渡到可以窃取管理员或者是其他用户信息的程度上了。例如cookies窃取,利用脚本对客户端进行本地的写操作等。
|
|
|
| 在ASP.NET中,防范脚本攻击的措施是对脚本进行过滤,可以使用Server.HtmlEncode()方法对输入的字符串进行HTML编码,使用户输入的字符串起不到脚本的作用。但有些时候,用户正常输入了一些敏感字符,例如“>”等,如果全部采用Server. HtmlEncode()方法进行编码,就无法实现用户的正常需求了,为了方便的过滤,一般只需要将HTML脚本和JS脚本中的几个关键字符过滤掉就可以了,过滤的程序如下:
|
|
|
|
|
| 用户的输入使用该方法进行过滤,屏蔽了那些可能会产生脚本攻击的特殊字符,当然,程序员也可以根据需要增减要替换的字符,以满足安全需要。
|
|
|
|
|
|
|
|
|
|
|
|
