none
關於ASP指令碼權限的問題 RRS feed

  • 問題

  • 我用ASP.NET寫網頁,寫一寫發現一個問題:當我要指定Lable.Text的值時,如果我使用html標籤就會出現安全性的問題。

    所以我就在web.config裡面加入 <pages validateRequest="false"/>的敘述,但這樣一來我的伺服器不就很有可能被人攻擊了嗎?

     

     

    目前我有一個RadioButtonList,在page_load時,執行RadioButtonList.Items.Add("<img src=" & path & ".gif>"),到這邊為止都還不會出現安全性的問題;接著當使用者選取到某張圖片的時候,執行Label.Text = RadioButtonList.SelectItem.Text,這個時候就會出現安全性的問題!

    我現在想要可以執行以上的指令,但是又要能確保伺服器不容易被攻擊,該怎麼作?

     

    2006年10月31日 下午 12:30

解答

  • 只是瀏覽網頁的話,你的電腦不會怎麼樣,但透過你的 Web Server 看網頁而被攻擊的使用者可能會因為這樣恨你恨到牙癢癢的 ...
    如果你在 Server 看你的網頁,那你的 Server 也會有事 .

    建議你先看一下資訊安全的書(現在很多了),看看 Cross-Site Scripting 的攻擊手法,就會知道它有多嚴重 .

    2006年11月2日 上午 03:02
    版主

所有回覆

  • 1. 自己設計一個 markup rule,避免直接使用 HTML.
    2. 如果要用 HTML,就要用 Regular Expression 來檢查有沒有惡意的指令在裡面(例如不明的 script).
    2006年10月31日 下午 01:56
    版主
  • MSDN有看沒有懂....不知道Regular Expression 要怎用= =

     

    能告訴我如果被攻擊的話,最慘的情況是什麼嗎?我的電腦會怎樣?

    2006年10月31日 下午 04:10
  • 只是瀏覽網頁的話,你的電腦不會怎麼樣,但透過你的 Web Server 看網頁而被攻擊的使用者可能會因為這樣恨你恨到牙癢癢的 ...
    如果你在 Server 看你的網頁,那你的 Server 也會有事 .

    建議你先看一下資訊安全的書(現在很多了),看看 Cross-Site Scripting 的攻擊手法,就會知道它有多嚴重 .

    2006年11月2日 上午 03:02
    版主