5
テキストボックスにhtmlまたはjavascriptを入力するユーザーを停止したいと考えています。asp.netテキストボックスでスクリプトを確認してください
入力を解析し、天使の括弧をチェックするだけで済みます。これを行うより良い方法があるのだろうかと疑問に思っていましたか?
A
答えて
5
エンジェルブラケットをエンコードされたエンジェルブラケットに置き換えると、ほとんどの問題が解決されることがわかりました。ここには、人々がクロスサイトスクリプトを実行できるすべての方法のためのreferenceがあります。 HTMLやスクリプトの味を止めるための正規表現を作ることは不可能に近いです。
+1
+1何もチェックしないで、途中で正しくエスケープしてください。ユーザーは角かっこを入力することができるはずであり、次のようにページ上に通常の角かっことして表示されます。< >正しいメソッドはHtmlEncode(.NETコントロールがテンプレート内で自動的にエスケープされない場合)と呼ばれ、アンパサンドと引用符(属性値のテキスト)にも影響します。 – bobince
2
入力を検証するために正規表現バリデーターを使用できますか?
3
Page.ValidateRequest = trueを設定すると、これが停止します。
.netバージョン1.1以降(これは思うが)は、デフォルトではtrueに設定されています。
+1
ValidateRequestはまったく偽であり、問題の危険な誤解を裏切っています。これは、入力レイヤーで出力の問題(エスケープ)を修正しようとする点で、PHPの非常に参考になったmagic_quotes_gpcに似ています。魔法の引用符のように、あなたのアプリケーションを壊してしまいます(例えば、ここにいた場合は、HTML '
+0
私はあなたの言うことを否定するものではなく、ほとんどすべてのアプリケーションでグローバルにオフになり、すべての入出力は手動で検証されます。しかし、この質問は、「ユーザーがテキストボックスにhtmlやjavascriptを入力するのをやめたい」と述べています。 ValidateRequestはこれを行います。 –
+0
確かに。それは正解です...ちょうど正しい質問ではないかもしれません! – bobince
1
Page.ValidateRequestは、オフにしない限り、これを停止します。
しかし、OWASPのガイドライン(ほとんどすべての有能なセキュリティガイドライン)では、検証で不正な文字を制限するべきではなく、特に許可された文字のみが使用されるようにフィルタする必要があることを示しています。優れたセキュアなコーディングプラクティスについて
http://en.wikipedia.org/wiki/Secure_input_and_output_handling
http://www.owasp.org/index.php/Top_10_2007-A1
私はここで開始し、今後の参考のためにサイトをブックマークします。 http://www.owasp.org/index.php/Top_10_2007
0
私はこのhtmlユーティリティーに出会いました。このコードでは、入力が許可されているホワイトリストのタグを使用します。スクリプトは、入力テキストをフォーマットし、クロスサイトスクリプティング攻撃に使用できるタグとスクリプトを削除します。
あなたの目的のために、ホワイトリストにタグを入れることはできませんでした。
関連する問題
- 1. シェル・スクリプトで$ ORACLE_HOME varを確認してください
- 2. ASP.NETのNTユーザー名+パスワードを確認してください
- 3. URLを確認してください
- 4. テキストボックスのフォーカスが失われた理由を確認してください
- 5. 私のJavascript Snippetを確認してください。 FB MobwarsのGreasemonkeyスクリプトです。
- 6. vbscriptでiis認証設定を確認してください
- 7. Asp.Netのカレンダーコントロールを使用して日付を確認してください。
- 8. テキストボックスが空でチェックボックス(un)がチェックされていることを確認してください
- 9. すべてのアクティビティでログインを確認してください
- 10. Jquery Validationプラグインで負の数を確認してください
- 11. iPhoneで最新のxmlレポートを確認してください
- 12. Pythonでラクダのケースを確認してください
- 13. ワイルドカードリゾルバでドメインの有効性を確認してください
- 14. jsfでユーザエージェントを確認してください
- 15. NagiosでRailsアプリケーションを確認してください
- 16. url2libでリクエストヘッダーを確認してください
- 17. sitecustomizeでpythonの対話モードを確認してください
- 18. pom.xmlでmavenのバージョンを確認してください
- 19. Z3でオーバーフローを確認してください
- 20. 流星プロジェクトでmongodbのバージョンを確認してください
- 21. リンクをクリックしたユーザーを確認してください
- 22. すべてのデバイスのサポートを確認してください
- 23. カラムの値をすべて確認してください
- 24. Apache Passengerデプロイメントで確認してください:モデル内のレールアクセスセッション
- 25. ループでチェックされているチェックボックスを確認してください
- 26. ブラウザでサポートされているDRMシステムを確認してください。
- 27. ASP.NET MVCでルートが使用されていることを確認してください
- 28. 同じ値を持つデータベースを確認してください。
- 29. フォーカスを取得するJTextFieldを確認してください
- 30. Qtでキーが押されていないか確認してください
良い質問 - あなたはセキュリティを考えていることを示しています。 +1。 – David