ASP.NET溫故而知新學習系列之網站安全技術—預防指令碼攻擊（二）

　　閱讀目錄

　　一：指令碼攻擊

　　二：類比指令碼攻擊

　　三：運行效果

　　四：預防指令碼攻擊的主要方法

　　一：指令碼攻擊

　　指令碼攻擊是指將惡意的字元插入到網頁中來，瀏覽器無法驗證這些插入的字元，並且會將它們作為網頁的一部分進行處理

　　從瀏覽器的角度來看，網頁只是一個長的字串，瀏覽器會按照順序處理這個字串，在此過程中，會顯示某些字元，同時按照某些規則解釋其他字元如：<script>，如果惡意使用者將某些特殊字元插入到網頁中來，則瀏覽器不知道這些特殊字元不應該處於該位置，而將它們作為頁面的一部分處理起來

　　假如現在有個使用者在TextBox中輸入惡意代碼如：<script>alert('我進來了，我是來攻擊你的');</script>，我們單擊一個按鈕在Lable控制項上顯示使用者輸入的內容，單擊按鈕就會彈出一個提示框，這種情況被稱為指令碼攻擊

　　二：類比指令碼攻擊

　　ScriptAttack aspx.aspx

　　using System;
　　using System.Collections.Generic;
　　using System.Linq;
　　using System.Web;
　　using System.Web.UI;
　　using System.Web.UI.WebControls;

　　namespace EPG.WebAdmin.Security
　　{
    　　public partial class ScriptAttack_aspx : System.Web.UI.Page
    　　{
        　　protected void Page_Load(object sender, EventArgs e)
        　　{

        　　}

        　　protected void btnOK_Click(object sender, EventArgs e)
        　　{
          　　  this.Label1.Text = this.txtInput.Text;
        　　}
   　　 }
　　}

　　三：運行效果

　　介面設計

　　

　　提交按鈕後

　　

 

　　四：預防指令碼攻擊的主要方法

　　預防指令碼攻擊的主要方法是決不信任使用者錄入的資訊，在網頁上顯示使用者錄入的字串之前，應對其進行HTML編碼

　　我們對其進行HTML編碼後，發現以前“<script>alert('我進來了，我是來攻擊你的');</script>”中的“<”被替換為“&lt;”了，“>” 被替換為“&gt;”了，“'”被替換為了“&#39;”

　　protected void btnOK_Click(object sender, EventArgs e)
      {
          　　  this.Label1.Text =  Server.HtmlEncode(this.txtInput.Text);
      }

　　單擊按鈕後

 　　

　　查看源檔案