用ASP.NET 1.1 新特征防止Script攻击 - - 编程开发 - .NET技术

.NET技术

本类阅读TOP10

·ASP.NET提供文件下载函数
·ASP.NET中使用数据处理插入数据注意的问题
·如何让你的服务器支持asp.net
·ASP.NET WEB页面多语言支持解决方案
·带你走进ASP.NET(4)
·ASP.net生成文字图片
·从ASP过渡到ASP.net遗留的二十大积习
·带你走进ASP.NET(3)
·带你走进ASP.NET(1)
·ASP.NET可交互式位图窗体设计(9)

站内搜索

用ASP.NET 1.1 新特征防止Script攻击

以上的代码很简单，就是将用户输入的信息进行现实，运行以后是这样的：以上我们输入一个简单的“Hello world”，可以看到，页面很正常的进行了显示，那么，如果我们输入“”会怎样呢？现在就来看看运行结果：很明显，是一个错误信息：“potentially dangerous Request.Form value was detected…”意思是用户提交的信息有潜在的危险，所以，不予提交。这就是Asp.NET的最新特征之一，将用户提交信息的潜在危险排除到最小，当然，要使用这个最新特征是很简单的，直接在页面中可以这样设定： <%@ Page validateRequest="true" %> 或者，也可以在网站配置文件Web.config中设定：当然，要取消这个特征也是可以的，直接在以上设定中将False改为True就可以了。我们强烈建议将以上特征打开，设置为True，对每一个用户的输入进行检测。现在，我们看看如果用户现在关闭以上特征，页面运行会有怎样的结果：可以看到，以上页面运行以后，出现了用户输入直接运行的结果：弹出一个提示信息。那么，如果用户不希望使用Asp.NET1.1的以上新特征，而又希望可以比较好的实现程序的安全性，应该怎样做呢？可以直接使用Server.HtmlEncode(string)来现实，将所有用户的输入信息转换为HTML格式，也就是原封不动（现实出来和输入的一样）的现实用户输入的信息而不对恶意代码进行运行。现在，我们来看一个举例：以上代码和前面提到的代码唯一的区别就是对用户输入进行了HTML编码，运行结果如下：我们可以看到，用户带有潜在危险的输入，已经完全被避免了。以上方式和采用ASP.NET1.1的新特征相比，有什么不一样呢？以上方式依然接受用户输入，只是将危险代码进行了修改；而使用ASP.NET1.1的新特征，危险代码是完全拒之门外的，不会对数据进行处理。以上我们试验了ASP.NET1.1的最新功能，并将它与别的技术进行了对比。编程中，我们建议直接使用ASP.NET1.1提供的新特征来实现危险排除，而不是采�**TML编码的方式。

相关文章：

Winamp发现危险漏洞！攻击代码已经出现

SQLServer7.0sa帐号密码攻击法