1

私は、alivePDF を使用してフレックス アプリに PDF 生成機能を実装しました。ファイルをユーザーに提供するために使用したプロセスが XSS の脆弱性を生み出すのではないかと考えています。

これは私が現在使用しているプロセスです:

  1. フレックス アプリケーションで PDF を作成します。
  2. POST を使用してバイナリ PDF ファイルをサーバーに送信し、ファイル名を指定して配信します。
  3. サーバー上の ASP.NET スクリプトは、ファイル名をチェックして有効であることを確認し、HTTP 添付ファイルとしてユーザーに送り返します。

それを考えると、XSSを防ぐためにどのような手順を踏む必要がありますか?

4

2 に答える 2

0

ファイル名以外にGETまたはPOSTパラメータはありますか?

XSSの防止には、検証、エスケープ、フィルタリングの3つの主要な戦略があります。

検証:無効な文字を検出すると、POSTリクエストを拒否します(そしてユーザーにエラーを発行します)。

エスケープ:OSには有効なファイル名の制限があるため、ファイルを保存するときに適用されない可能性があります。

フィルタリング:無効な文字のPOSTファイル名パラメーターを自動的に削除します。これは私があなたの状況に推奨するものです。

ASP.NETスクリプト内で、すぐにPOST文字列を取得し、次の文字を削除します。<>&'"?%#; +

于 2009-11-09T22:10:07.040 に答える
0

これはどのようにXSSで悪用可能になるのでしょうか?ユーザーに直接何かを出力しているのではありません。ファイルシステムは奇妙な文字を拒否するだけであり、ファイルを出力ストリームに配置するときは、名前も内容も重要ではありません。

于 2009-11-09T22:18:45.733 に答える