asp.net初級 Web原則 xss漏洞

1.XSS (Cross-Site Scripting) 跨站腳本攻擊， 是Web程序中最多見的漏洞。指攻擊者在網頁中嵌入客戶端腳本(例如JavaScript), 當用戶瀏覽此網頁時，腳本就會在用戶的瀏覽器上執行，從而達到攻擊者的目的， 好比獲取用戶的Cookie，導航到惡意網站,攜帶木馬等。

2.     Dom-Based XSS漏洞       威脅用戶個體

        Stored XSS(存儲式XSS漏洞)    威脅的將是大量的用戶

3.asp中默認對請求對象的數據進行了校驗，若是數據中含有潛在xss攻擊的字符，則會報錯。對於一些cms系統等確實須要提交Html內容的地方要關閉它，在頁面頂部的Page中加入ValidateRequest="false"這個屬性。

4.在顯示的時候若是須要對內容在顯示以前進行HtmlEncode，除了能夠使用HttpUtility.HtmlEncode進行手動編碼的話，還能夠使用Literal控件顯示，若是修改Literal的Mode屬性爲Encode那麼就會自動進行HtmlEncode而後顯示。

5.xss漏洞修復

   不要輕信用戶提交上來的數據。

注意:  攻擊代碼不必定在<script></script>中

1. 將重要的cookie標記爲http only,   這樣的話Javascript 中的document.cookie語句就不能獲取到cookie了.
2. 只容許用戶輸入咱們指望的數據。 例如：　年齡的textbox中，只容許用戶輸入數字。 而數字以外的字符都過濾掉。
3. 對數據進行Html Encode 處理
4. 過濾或移除特殊的Html標籤， 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for
5. 過濾JavaScript 事件的標籤。例如 "onclick=", "onfocus" 等等。