• 热门专题

ASP.net MVC SignalR & MVC防止XSS(跨网站指令)

作者:饅頭小鋪  发布日期:2013-05-23 11:19:46
Tag标签:SignalR  XSS  跨网站指令  
  • 在做web聊天室的时候,总是会遇到XSS的攻击,要如何有效防治这类个攻击呢?待我说明啰!!

     

    首先,我们要在web.config中加入一段文字

     

    <httpRuntime encoderType="System.Web.Security.AntiXss.AntiXssEncoder,System.Web,Version=4.0.0.0,Culture=neutral,PublicKeyToken=b03f5f7f11d50a3a" />

    加入些文字后,我们就可以直接存取AntiXssEncoder的编码方式啰!

    之后在前几篇文章所建立的 Chat.cs档案中,传送讯息的部份加上了AntiXssEncoder.HtmlEnCode()的编码 www.it165.net

            public void Send(String Message)
            {
                Clients.All.addMessage(AntiXssEncoder.HtmlEncode(Message,true));
                //true 若要使用 HTML 4.0 名称实体特定字符编码方式。 false若要只使用编码&#DECIMAL;标记法。 MSDN说明 http://msdn.microsoft.com/zh-tw/library/hh244070.aspx
            }

    如此一来,使用者输入的任何文字都会当成文字处理,不会把它当作Html标签啰!

     
     

    在F12的开发工具中,Html的文件内容为

     
     

    这样,就可以巧妙的避开XSS啰!

     

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规