[英]Check for script in asp.net text box
我們想阻止用戶在文本框中輸入html或javascript。
我們可以解析輸入並檢查天使括號。 想知道有更好的方法嗎?
我發現用編碼的天使括號替換天使括號可以解決大多數問題。 以下是人們可以跨站點腳本的所有方式的參考 。 制作一個正則表達式來阻止任何HTML和/或腳本的味道幾乎是不可能的。
如果您設置Page.ValidateRequest = true,那么它將停止此操作。
從.net 1.1版開始(我認為)默認設置為true。
你能使用正則表達式驗證器來驗證輸入嗎?
除非關閉它,否則Page.ValidateRequest將停止此操作。
但是,OWASP指南(以及幾乎所有主管的安全指南)告訴您,您不應該嘗試在驗證中限制不良字符,而應該過濾以便僅使用特定允許的字符。
http://en.wikipedia.org/wiki/Secure_input_and_output_handling
http://www.owasp.org/index.php/Top_10_2007-A1
為了獲得良好的安全編碼實踐,我將從這里開始並為網站添加書簽以供將來參 http://www.owasp.org/index.php/Top_10_2007
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.