編寫JavaScript時使用Classic ASP進行跨站點腳本編寫
[英]Cross-site scripting in Classic ASP when writing javascript
問題描述
假設在服務器端的Classic ASP文件中,您收到一個包含惡意JavaScript的Request字符串,例如“ alert('HACKED'); “
DIM foo : foo = Request.Form("foo"); 'Contains malicious javascript
然后稍后我們將javascript寫入包含該值的屏幕。
%>
<script type="text/javascript">
// some code
<%=foo %>
// some more code
</script>
<%
我們在此做什么才能使自己免受這種形式的跨站點腳本攻擊?
1 個解決方案
解決方案1
1 2010-07-21 20:30:51
永遠記住:“過濾您的輸入,然后轉義您的輸出”
您過濾數據以安全地存儲在數據庫中(以防止SQL注入),並在將數據呈現給用戶之前對其進行轉義(以防止XSS)
嘗試使用ASP的HTMLEncode()方法。
JavaScript,這可以啟用反射跨站點腳本 (XSS) 攻擊
[英]JavaScript, This can enable a Reflected Cross-Site Scripting (XSS) attack
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.