[英]Cross-site scripting in Classic ASP when writing javascript
假設在服務器端的Classic ASP文件中,您收到一個包含惡意JavaScript的Request字符串,例如“ alert('HACKED');
“
DIM foo : foo = Request.Form("foo"); 'Contains malicious javascript
然后稍后我們將javascript寫入包含該值的屏幕。
%>
<script type="text/javascript">
// some code
<%=foo %>
// some more code
</script>
<%
我們在此做什么才能使自己免受這種形式的跨站點腳本攻擊?
永遠記住:“過濾您的輸入,然后轉義您的輸出”
您過濾數據以安全地存儲在數據庫中(以防止SQL注入),並在將數據呈現給用戶之前對其進行轉義(以防止XSS)
嘗試使用ASP的HTMLEncode()方法。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.