問題タブ [asp.net-webpages]

次のポストコールがある場合:

cshtml ファイルで json オブジェクトを受け取って処理するにはどうすればよいですか? Decode 呼び出しに入れたことを意味します。

同じ問題を抱えている他の人を助けるために、@MikeBrindの回答を完成させるために編集されました。より複雑な json オブジェクトにデコードを使用する例。

受信および使用:

XSS 攻撃に対して 100% 効果的なソリューションは存在しないという事実を読みました (そして受け入れようとしています)。私たちが望むことができる最善の方法は、「ほとんどの」XSS 攻撃手段を阻止することであり、その後、おそらく適切な復旧および/または法的な計画を立てることです。最近、許容できるリスクと許容できないリスクを判断するための適切なフレームワークを見つけるのに苦労しています。

Mike Brind によるこの記事を読んだ後 (非常に良い記事です):

http://www.mikesdotnetting.com/Article/159/WebMatrix-Protecting-Your-Web-Pages-Site

ユーザー入力を未検証にする必要がある場合、HTMLサニタイザーを使用すると、XSS攻撃の経路を減らすのにも非常に効果的であることがわかります。

ですが、私の場合は逆です。Web インターフェイスを備えた (非常に限定的な) CMS を使用しています。ユーザー入力 (URL エンコード後) は JSON ファイルに保存され、表示可能なページで取得 (デコード) されます。ここで XSS 攻撃を阻止するための私の主な方法は、コンテンツを変更するには数少ない登録メンバーの 1 人になる必要があるということです。登録ユーザー、IP アドレス、およびタイムスタンプをログに記録することで、この脅威はほとんど軽減されると思いますが、以前のステートメントに加えて、asp.net の既定の要求バリデーターによって生成された YSOD をキャッチする try/catch ステートメントを使用したいと考えています。言及された方法。

私の質問は次のとおりです。このバリデーターをどの程度信頼できますか? タグが検出されることはわかっています (この部分的な CMS は、論理的に言えば、タグを受け入れるように設定されていないため、タグが検出された場合にエラーがスローされても問題ありません)。しかし、この生まれつきのバリデーターは他に何を (もしあれば) 検出するのでしょうか?

XSS は山かっこ (または完全なタグ) に触れなくても実装できることを知っています。html ソースを保存、編集し、クライアント コンピューターから実行することができるのは、単純にエクストラを追加するだけだからです。 「onload='BS XSS ATTACK'」をランダムなタグに追加します。

このバリデーターをアンチ XSS 計画の一部として使用したい場合に、このバリデーターがどれだけ信頼できるかを知りたいです (もちろん、try/catch を使用するため、ユーザーには YSOD が表示されません)。このバリデーターはかなりまともですが、完全ではありませんか? それとも、XSS を知るのに十分な知識を持っている人なら誰でも、この検証が実際には問題にならないという十分な知識を持っているという「最良の推測」ですか?

- - - - - - - - - - - -編集 - - - - - - - - - - - - - -----

このサイトで...: http://msdn.microsoft.com/en-us/library/hh882339(v=vs.100).aspx

...この例は Web ページで見つかりました。

コメントによると、「//検証済み、入力にマークアップが含まれている場合はエラーがスローされます」文字列にマークアップと見なされるものが含まれている場合、バリデーターはエラーをスローすると思います。ここで、(私にとっての) 疑問は次のようになります: マークアップとは何ですか? テストを通じて、単一の山かっこはエラーをスローしないことがわかりましたが、何か (これまでにテストしたもの) がその山かっこの後に続く場合は、次のようになります。

エラーになりそうです。ただし、それよりも多くのチェックを行っていると確信しています。リクエストバリデーターの目には、何がマークアップと見なされ、何がマークアップとして認められないかを確認したいと思います。

ASP.NET MVC WebPages アプリケーションを作成しました。完全にローカルで動作します。Web サイトとしてインストールすると、サーバー上で完全に動作します。ただし、IIS アプリケーション (同じアプリケーション プールを使用して、別の Web サイトの下のレベル) としてインストールされている場合は、次の例外がスローされます。

ファイルまたはアセンブリ 'System.ServiceModel.DomainServices.Hosting、Version=4.0.0.0、Culture=neutral、PublicKeyToken=31bf3856ad364e35' またはその依存関係の 1 つを読み込めませんでした。システムは、指定されたファイルを見つけることができません。

どうやら、使用されていない WCF RIA サービスに関連するものです。私が使用するのは、Linq to SQL だけです。これはどのように可能ですか？

サーバー: IIS 7.5 を搭載した Windows Server 2008 R2

コントロール (コンボボックス、チェックボックス、またはそれに相当する asp.net など) を収容/ホストするために、Web ページの両側に垂直ストリップを作成する必要があります。これらの 2 つのストリップ (Outlook バーに多少似ています) は、上部の小さなバナー/ヘッダーと小さなフッター (当然、下部にあります) で区切る必要があります。中央の広大なセクションは、Bing Map コンポーネントで構成されます。

これを行うにはどうすればよいですか？WPF Grid のような html テーブルを使用しますか? または...？？？

1140px/12 カラム システム ( http://cssgrid.net/ ) を使用する場合、左側に 3 カラム、中央に 6 カラム、および 3 カラムになるサイト (オリジナル コンテンツの 1 ページ) を作成する必要があります。右側に。

左のストリップには、おそらく主に Treeview であるコントロールが含まれます。

"広大な" 中間セクションは Bing マップになります。

携帯電話やタブレットで表示するときは、地図が中央に固定されるようにする必要があります。

これは 1140/12 プロジェクトで動作しますか、それとも別の方向に目を向けるべきですか?

この C# カミソリ コードを VB.NET カミソリ コードに変換するのに助けが必要です。

私のvb.net razor 2コードに「オブジェクト変数またはWithブロック変数が設定されていません」というエラーがあります。11号線

これは私の _PageStart.vbhtml コードです:

これは私の default.vbhtml コードです:

私は彼の値を持つ特定の属性を渡すものに応じて生成したいと考えています。これは私がヘルパーを使いたい方法です：

PossibleHelperが自分のことをした後、これが結果になる可能性があります：

ヘルパーでそれをどのように表現できますか？

C＃.netで、このメソッドを作成する場合：

Path.GetFileNameを書き直しただけでしょうか？それともそれ以上のものがありますか？私が知る限り、ユーザーがInternet Explorerを使用していない限り、同じことPath.GetFileName(fileVariable.FileName)をfileVariable.FileName返します（ただし、IE、Chrome、Firefoxでのみ試しました）。

本当に、それがその方法にすべてがあったかどうかはわかりませんでした。

----------------好奇心旺盛な方へ-----------------------

ずっと前にサイトで書いた方法とよく似たものを使っていたので、そのPath.GetFileName方法を学ぶ前に聞いてみましたが、わざわざ変更するべきかどうかわかりませんでした。