2

asp.netページでtinymceエディターを使用しています。正常に構成されましたが、エディターでsoemテキストを書き込もうとすると、「潜在的に危険なRequest.Form値がクライアントからtimymceで検出されました」というエラーが発生しました。検索すると、入力メッセージフォームスクリプトとSQLの基本的なスキャンであることがわかりました。インジェクション攻撃。

このエラーを取り除くためにValidateRequest=fasle、aspxページのページ見出しを挿入しました。これで、入力は正当に検証されていないと確信していますが、今は安全ではありませんか?

現在どのような種類の脅威があり、それを防ぐためにどのような安全対策を講じることができるかを教えてください。エディターは、電子メールの作成と保存に使用されています。一部のサイトで、クライアント側のスクリプト攻撃が入力から可能であると読んだところです。ガイドと助けてください。

4

1 に答える 1

2

この答えはあなたが探しているものに沿っていると思います。

基本的に、該当する場合は、すべての入力フィールドをhtmlエンコード/デコードする必要があります。実際には、検証を無効にしない限り、これを完全に回避することはできません。ただし、そうであれば、入力を直接使用しないように対策を講じてください。

于 2011-07-23T12:22:24.870 に答える