umgehen Ich bin derzeit versuchen, meine Website von XSS-Attacken in der Url zu sichern. Zum Beispiel, wenn der Angreifer Firefox verwendet, können sie folgendes tun:Wie mit XSS in einer URL-Abfragezeichenfolge in ASP.net 3.5 mit C#
Und das Skript wird ausgeführt. Ich suche jetzt seit ein paar Tagen und kann keine Lösung finden, die funktioniert. Momentan habe ich die AntiXSS-Bibliothek von MS ausprobiert. Ich glaube nicht, dass es funktioniert richtig ich kodiert die gesamte URL wie so
Mircosoft.Security.Application.Encoder.HtmlEncode(path);
Ich habe versucht, alle anderen Methoden in dieser Klasse auch und das Skript noch vor dem Laden der Seite ausgeführt wird. Ich verwende ASP.net 3.5 mit Webforms und kann kein Upgrade durchführen.
https://www.owasp.org/index.php/ Testing_for_Reflected_Cross_site_scripting_ (OTG-INPVAL-001) – MethodMan
Um eine vollständige Antwort zu geben, ist es notwendig zu sehen, wo und wie genau Sie den codierten Wert verwenden. –
Der codierte Pfad wird dann an app.Context.RewritePath gesendet, der zur Init-Methode der IHttpModule-Klasse zurückkehrt. – eskers