[英]Check for script in asp.net text box
我们想阻止用户在文本框中输入html或javascript。
我们可以解析输入并检查天使括号。 想知道有更好的方法吗?
我发现用编码的天使括号替换天使括号可以解决大多数问题。 以下是人们可以跨站点脚本的所有方式的参考 。 制作一个正则表达式来阻止任何HTML和/或脚本的味道几乎是不可能的。
如果您设置Page.ValidateRequest = true,那么它将停止此操作。
从.net 1.1版开始(我认为)默认设置为true。
你能使用正则表达式验证器来验证输入吗?
除非关闭它,否则Page.ValidateRequest将停止此操作。
但是,OWASP指南(以及几乎所有主管的安全指南)告诉您,您不应该尝试在验证中限制不良字符,而应该过滤以便仅使用特定允许的字符。
http://en.wikipedia.org/wiki/Secure_input_and_output_handling
http://www.owasp.org/index.php/Top_10_2007-A1
为了获得良好的安全编码实践,我将从这里开始并为网站添加书签以供将来参 http://www.owasp.org/index.php/Top_10_2007
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.