私はjavascriptとxss攻撃のために私のWebサイトをxss-proofingしています。これは、ASP.NET Webformsで書かれています。JavascriptとXSS攻撃の防止
私がテストしたい主な部分は、テキストボックス(tinyMCEが付いている)を持つユーザーコントロールです。
ユーザーは、このテキストボックスに記事を投稿することで、記事をサイトに送信できます。 validateRequest
をfalseに設定しなければならなかったので、私はHMTL(tinyMCE)でユーザーの話を聞きたいのです。
javascript-xss攻撃を防止するにはどうすればよいですか?ユーザーのストーリーはHMTLのテキストなので、自分の話にはServer.HtmlEncode
を使用できません。一般的に、ユーザーからHTMLコンテンツを受け取り、保存してユーザーに表示する安全な方法は何ですか?
1人のユーザーがテキストボックスに悪意のあるコードを入れて送信した場合、そのテキストを閲覧する他の人に害を及ぼす可能性はありますか?
ありがとうございます。
良い質問には、防御する必要があるさまざまな種類の攻撃のうちのhttp://ha.ckers.org/xss.htmlがあります。私は1つの答えが質問の正当化を行うとは思わない。あなたのキャプチャは時代遅れです(2年以上前に更新されました)。 googleの[recaptcha](http://www.google.com/recaptcha)をお試しください。 – naveen
SQLインジェクション攻撃を防ぐことも害ではありません。 – Tim
@Tim:EFで世話をした – Kamyar