0

HTML インジェクション攻撃を防ぐためにページを検証したいと考えています。

一部のウイルス、トロイの木馬などは、コードを検出して Web サイトに挿入する可能性があります。これにより、Web サイトのデザインが変更されたり、悪意のあるコードが挿入されたりする可能性があります。

自分のページが実際にサーバーから作成した自分のページであることを確認するにはどうすればよいですか?

4

1 に答える 1

1

に設定できvalidateRequestますtrue。これはデフォルトです

<configuration>
  <system.web>
    <pages validateRequest="true" />
  </system.web>
</configuration>

そして、常にユーザー入力をエンコードします:

Server.HtmlEncode("<script>unsafe</script>");

詳細については:

リクエストの検証 - スクリプト攻撃の防止

HtmlEncode、HtmlDecode

于 2013-10-07T08:29:23.673 に答える