Защита себя от межсайтовых сценариев

Question

Защита себя от межсайтовых сценариев

Я реализовал Request.QueryString ["somestr" ] .ToString ();

Я подавляю межсайтовый скриптинг, выполняя HttpUtility.HtmlEncode (Request.QueryString ["somestr"]. ToString ();

У меня все еще есть проблема, когда пользователь может:

myfriendlydomain.com/?somestr = '; alert (WOO XSS SUCCEDED); test ='

Как я могу предотвратить это?

По запросу:

//Code Behind
if(request.querystring["somestr"] != null)
{
  AffiliatesEmail = HttpUtility.HtmlEncode(Request.QueryString["somestr"].ToString();    
}

//Front End
<script type="text/javascript">
  //<![CDATA[
    /*** Do not change ***/
    var SomeVAR = {};
    SomeVAR.Tracking.Sale.orderRef = '<%= AffiliatesEmail %>';
  //]]>
</script>

<script src="https://www.somethirdparty.com/somejscript.js" type="text/javascript" defer="defer"> </script>

Это наша реализация. Что-нибудь потом я не верю, это актуально.

5

asp.net .net request xss

задан Anicho 2 December 2011 в 14:54

0 ответов

Другие вопросы по тегам:

asp.net .net request xss

Защита себя от межсайтовых сценариев

0 ответов

Похожие вопросы: