none
如何禁止用户提交可执行脚本 RRS feed

答案

全部回复

  • 您好,防Javascript注入攻击是在显示文本信息时用Html.Encode来显示。

    关于Javascript注入攻击一个好的参考:http://msdn.microsoft.com/zh-cn/dd320322.aspx

    2010年12月27日 7:24
    版主
  • 您好,防Javascript注入攻击是在显示文本信息时用Html.Encode来显示。

    关于Javascript注入攻击一个好的参考:http://msdn.microsoft.com/zh-cn/dd320322.aspx


    有点复杂
    2010年12月27日 7:30
  • 简单的方法就是替换<script标记,onload,onerror等事件属性
    【孟子E章】
    2010年12月27日 9:40
    版主
  • 简单的方法就是替换<script标记,onload,onerror等事件属性
    【孟子E章】

    望详细点。。。拜托啦
    2010年12月27日 9:46
  • 您好,防Javascript注入攻击是在显示文本信息时用Html.Encode来显示。

    关于Javascript注入攻击一个好的参考:http://msdn.microsoft.com/zh-cn/dd320322.aspx


    有点复杂

    没有比这个更简单的了,只需调用一个方法而已!
    2010年12月27日 11:51
    版主
  • 您好,防Javascript注入攻击是在显示文本信息时用Html.Encode来显示。

    关于Javascript注入攻击一个好的参考:http://msdn.microsoft.com/zh-cn/dd320322.aspx


    有点复杂

    没有比这个更简单的了,只需调用一个方法而已!

    http://msdn.microsoft.com/zh-cn/dd320308这个让人头疼的程序清单1,程序清单2和程序清单3什么的那个是啊
    2010年12月28日 0:40
  • 其实我遇到的问题是这个,一段简单的javascript脚本就让我网站的留言板中招了,这种脚本怎么防护,脚本如下:(这段代码是从我的数据库的留言表里查询出来的,就在“留言表”中“留言内容列”里查询出来的)

    <script type="text/javascript">function a(){for(var i=0;i<10000;i++)alert(i);}</script><input onfocus="a()">

    2010年12月28日 0:53
  • 对提交文本做Encode就可以 HttpUtility.Encode(text)
    2010年12月28日 0:59
    版主
  • HttpUtility.Encode(text)这个东西放到哪里?这是什么属性?
    2010年12月28日 1:05
  • HttpUtility.Encode(text)这个东西放到哪里?这是什么属性?

    放到提交留言那里,还是放到提交留言后显示留言的地方?
    2010年12月28日 3:30
  • HttpUtility.Encode(text)这个东西放到哪里?这是什么属性?

    放到提交留言那里,还是放到提交留言后显示留言的地方?
    放到显示留言的地方
    2010年12月28日 6:01
    版主
  • HttpUtility.Encode(text)这个东西放到哪里?这是什么属性?

    放到提交留言那里,还是放到提交留言后显示留言的地方?
    放到显示留言的地方

    那个text代表什么?是显示留言的文本框名称?
    2010年12月28日 7:40
  • HttpUtility.HtmlEncode(txt);

     

    txt就是发布出的内容啊


    【孟子E章】
    2010年12月28日 9:51
    版主