ASP.NET開發實踐系列課程之跨站指令碼(XSS)的攻防

跨站指令碼(XSS)概述
跨站指令碼Cross-site scripting是最為流行的web安全性漏洞之一
惡意攻擊者往web頁面插入惡意html代碼，當使用者瀏覽該頁時，嵌入其中web裡面的html代碼回被執行，從而達到惡

意攻擊使用者的特殊目的。
XSS屬於被動攻擊，因為其被動且不好利用，所以許多人常忽略其危害性。

原因
過度相信用戶端資料
過分相信動態web技術的安全能力
伺服器端的安全設定不足
使用者過於信任網站上的所有串連
未對Cookies做足夠的安全處理

原理及危害
通過輸入特殊的HTML/Javascript/CSS代碼到取瀏覽者的敏感性資料
通過注入包含特殊內容的字串改變目標網頁的結構或內容
通過上傳特殊的檔案擷取伺服器高極許可權或破壞伺服器系統及資料
通過社交工程學原理誘騙使用者訪問或點擊包含惡意代碼的網頁或串連，實施不良行為

HttpUtility.HtmlEncode();

防禦跨站指令碼攻擊
監察所有通過使用者輸入資料產生動態網頁的代碼是否存在安全性漏洞
監察使用者輸入資料(Form, Cookies, Request.QueryString)是否存在不安全資訊
Cookies做一定的安全處理(比如說綁定MAC,IP之類的)
限制輸入資料的長度
對輸出進行編碼以過濾特殊字元
    HttpUtility.HtmlEncode
    AntiXss.HtmlEncode
能使用實值型別的盡量不要使用String類型