原创著作,产权保护 政府、投票、评选、公安、学校、问卷、视频会议专注发展中小企事业 系统报价 | 支付帐号 | 授权查证
    计算机著作版权登记号:2014SR032463 手机:+86-1373066-4304 | QQ:1213920482 欢迎选择智睿软件系统 欢迎选择智睿软件系统
智睿软件系统
asp项目中如何防止xss攻击
来源:智睿 浏览:66 次 发布时间:2020-05-22 17:07:04
asp中防止xss攻击的方法如下:
1. 确保所有输出内容都经过 html 编码。
2. 禁止用户提供的文本进入任何 html 元素属性字符串。
3. 根据 msdn.microsoft.com/library/3yekbd5b 中的概述,检查 request.browser,以阻止应用程序使用 internet explorer 6。
4. 了解控件的行为以及其输出是否经过 html 编码。如果未经过 html 编码,则对进入控件的数据进行编码。
5. 使用 microsoft 防跨站点脚本库 (antixss) 并将其设置为您的默认 html 编码器。
6. 在将 html 数据保存到数据库之前,使用 antixss sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用 getsafehtml 或 getsafehtmlfragment;不要在保存数据之前对数据进行编码。

7. 对于 web 窗体,不要在网页中设置 enablerequestvalidation=false。遗憾的是,web 上的大多数用户组文章都建议在出现错误时禁用该设置。该设置的存在是有原因的,例如,如果向服务器发送回“

Function Checkxss(byVal ChkStr)

    Dim Str
    Str = ChkStr
    If IsNull(Str) Then
        CheckStr = ""
        Exit Function
    End If

    Str = Replace(Str, "&", "&")
    Str = Replace(Str, "'", "′")
    Str = Replace(Str, """", """)
        Str = Replace(Str, "<", "<")
        Str = Replace(Str, ">", ">")
        Str = Replace(Str, "/", "/")
        Str = Replace(Str, "*", "*")

    Dim re
    Set re = New RegExp
    re.IgnoreCase = True
    re.Global = True
    re.Pattern = "(w)(here)"
    Str = re.Replace(Str, "$1here")
    re.Pattern = "(s)(elect)"
    Str = re.Replace(Str, "$1elect")
    re.Pattern = "(i)(nsert)"
    Str = re.Replace(Str, "$1nsert")
    re.Pattern = "(c)(reate)"
    Str = re.Replace(Str, "$1reate")
    re.Pattern = "(d)(rop)"
    Str = re.Replace(Str, "$1rop")
    re.Pattern = "(a)(lter)"
    Str = re.Replace(Str, "$1lter")
    re.Pattern = "(d)(elete)"
    Str = re.Replace(Str, "$1elete")
    re.Pattern = "(u)(pdate)"
    Str = re.Replace(Str, "$1pdate")
    re.Pattern = "(\s)(or)"
    Str = re.Replace(Str, "$1or")
        re.Pattern = "(\n)"
    Str = re.Replace(Str, "$1or")
        '----------------------------------
        re.Pattern = "(java)(script)"
    Str = re.Replace(Str, "$1script")
        re.Pattern = "(j)(script)"
    Str = re.Replace(Str, "$1script")
        re.Pattern = "(vb)(script)"
    Str = re.Replace(Str, "$1script")
        '----------------------------------
        If Instr(Str, "expression") > 0 Then
                Str = Replace(Str, "expression", "e-xpression", 1, -1, 0) '防止xss注入
        End If
    Set re = Nothing
    Checkxss = Str

End Function

使用方法:Checkxss(request.QueryString("变量")),或者Checkxss(request.form("表单名"))。

【刷新页面】【加入收藏】【打印此文】 【关闭窗口】
上一篇:智睿教师档案管理系统 V 7.9.0 教师档案系统,企业员工档案系统 下一篇:asp 防止XSS跨站脚本攻击方法