Рекомендации по безопасности ASP.NET [закрыто]
window.frameElement Возвращает элемент (например, & lt; iframe & gt; или & lt; object & gt;), в который встроено окно, или значение null, если окно находится на верхнем уровне. Таким образом, идентификационный код выглядит как
if (window.frameElement) {
// in frame
}
else {
// not in frame
}
Это стандартный и довольно новый метод. Он точно работает в Chrome и Firefox. Я не могу рекомендовать его как универсальное решение, но здесь я должен упомянуть.
7 ответов
Я нашел, что Microsoft Правила дорожного движения Разработчика была полезным контрольным списком безопасности.
Microsoft имеет много для высказывания об этом предмете:
- безопасность веб-приложения ASP.NET .
- Улучшающаяся безопасность веб-приложения (вся книга, выделенная предмету)
- Никогда не хранят уязвимую информацию как пароли в cookie.
- не Делают сообщений об ошибках системы отображения, отслеживания стека и т.д. в случае исключения.
Проверьте новый Механизм исполнения безопасности (бета вышла 14 ноября):
http://blogs.msdn.com/cisg/archive/2008/10/24/a-sneak-peak-at-the-security-runtime-engine.aspx
http://blogs.msdn.com/cisg/archive/2008/11/13/an-update-on-some-upcoming-free-tools.aspx
Это должно заменить текущую библиотеку Anti-XSS.
Anthony:-) www.codersbarn.com
При отображении содержания от базы данных на странице можно использовать HttpServerUtility. HtmlEncode для кодирования вывода для предотвращения Перекрестных сценариев сайта (XSS) нападения.
Считайте установку URLScan на Ваших серверах IIS для защиты от Внедрения SQL.
кроме того, для защиты от нападений на XSS, я пользовался бы библиотекой AntiXSS MSFT вместо созданного для кодирования вывода вместо созданного в HtmlEncode, найденном в HttpServerUtility.
Возможно, вас заинтересует эта статья Рекомендации по безопасности: ASP. NET-приложений . HTH