用ASP.NET 1.1 新特征防止Script攻击

asp.net|攻击

  网站的安全,很多时候,几乎代表了一个单位网络的安全。对于将网站作为企业对外形象的企业或者政府而言,网站安全更加重要。现在很多网站都安装了防火墙等安全设备,可是,一些简单的进攻,反而颇为让人伤脑筋。比如,通过网站,提交恶意代码,这就是比较难以防范的一种进攻,一个比较简单的具体举例,在需要用户提交EMAil地址的数据项,如果用户提交以下信息:<SCRIPT>alert(“hello from script”)</SCRIPT>,结果会怎样呢?当别的用户进入含有这个信息的页面的时候,就会见到一个弹出信息,这是以上提交的恶意代码直接运行的结果,如果这样的代码稍微改动,更加复杂一点,破坏效果自然更加惊人。程序员在设计程序的时候,如果没有较好考虑对用户提交信息进行适当的检测,很容易就会因为程序的不健全而导致不可预料的后果。在ASP和ASP.NET1.0或者其他任何开发工具中,我们不得不在程序中采用一些技巧来防范用户提交的恶意代码,而程序设计的原则就是“假定每一个用户提交的信息都是恶意的”,所以,程序员不得不拿出部分精力来做提交信息的检测工作。而在最新发布的ASP.NET1.1中,这样的检测就简单甚至是不必了。现在,我们来看一个具体的例子:
以上的代码很简单,就是将用户输入的信息进行现实,运行以后是这样的:

以上我们输入一个简单的“Hello world”,可以看到,页面很正常的进行了显示,那么,如果我们输入“<script>alert("hello!")</script>”会怎样呢?现在就来看看运行结果:

很明显,是一个错误信息:“potentially dangerous Request.Form value was detected…”意思是用户提交的信息有潜在的危险,所以,不予提交。这就是Asp.NET的最新特征之一,将用户提交信息的潜在危险排除到最小,当然,要使用这个最新特征是很简单的,直接在页面中可以这样设定:

<%@ Page validateRequest="true" %>

或者,也可以在网站配置文件Web.config中设定:

<configuration>

<system.web>

<pages validateRequest="true" />

</system.web>

</configuration>

当然,要取消这个特征也是可以的,直接在以上设定中将False改为True就可以了。我们强烈建议将以上特征打开,设置为True,对每一个用户的输入进行检测。现在,我们看看如果用户现在关闭以上特征,页面运行会有怎样的结果:

可以看到,以上页面运行以后,出现了用户输入直接运行的结果:弹出一个提示信息。

那么,如果用户不希望使用Asp.NET1.1的以上新特征,而又希望可以比较好的实现程序的安全性,应该怎样做呢?可以直接使用Server.HtmlEncode(string)来现实,将所有用户的输入信息转换为HTML格式,也就是原封不动(现实出来和输入的一样)的现实用户输入的信息而不对恶意代码进行运行。现在,我们来看一个举例:

以上代码和前面提到的代码唯一的区别就是对用户输入进行了HTML编码,运行结果如下:

我们可以看到,用户带有潜在危险的输入,已经完全被避免了。以上方式和采用ASP.NET1.1的新特征相比,有什么不一样呢?以上方式依然接受用户输入,只是将危险代码进行了修改;而使用ASP.NET1.1的新特征,危险代码是完全拒之门外的,不会对数据进行处理。
以上我们试验了ASP.NET1.1的最新功能,并将它与别的技术进行了对比。编程中,我们建议直接使用ASP.NET1.1提供的新特征来实现危险排除,而不是采用HTML编码的方式。

时间: 2024-12-22 21:44:46

用ASP.NET 1.1 新特征防止Script攻击的相关文章

一起谈.NET技术,巨大转变!ASP.NET MVC2调用AJAX新特征

在ASP.NET MVC编程中使用AJAX功能是非常简单的.借助于JQuery框架,你还可以增加其他的优秀特征并且使AJAX调用特别简单.本文中,我们将探讨这方面的编程内容. 一.检测一个AJAX请求 在Web表单中,创建AJAX请求典型的方法是使用一个更新面板.当更新面板回寄时,ScriptManager提供一个方法(通过其isInAsyncPostBack属性)来检测服务器上的AJAX回寄.ASP.NET MVC也提供了类似的机制.因为AJAX能够调用行为方法,所以我们需要一种方法来检测一个

巨大转变!ASP.NET MVC2调用AJAX新特征

在ASP.NET MVC编程中使用AJAX功能是非常简单的.借助于JQuery框架,你还可以增加其他的优秀特征并且使AJAX调用特别简单.本文中,我们将探讨这方面的编程内容. 一.检测一个AJAX请求 在Web表单中,创建AJAX请求典型的方法是使用一个更新面板.当更新面板回寄时,ScriptManager提供一个方法(通过其isInAsyncPostBack属性)来检测服务器上的AJAX回寄.ASP.NET MVC也提供了类似的机制.因为AJAX能够调用行为方法,所以我们需要一种方法来检测一个

面试题:ASP.NET2.0的新特性?

问题描述 ASP.NET2.0的新特性?像这种面试题该怎么答,用不着把2.0中增加的服务器控件和功能全部阐述一边吧! 解决方案 解决方案二:还有这种面试题,如果我是直接从ASP.NET2.0学的呢强烈BS招聘的解决方案三:up解决方案四:不合理,问这种问题的就是知道从旧的看新的.不能抛弃以前的.新特征很多了.如:加入的profile,GridView,泛类型等等.解决方案五:新特性.....我认为问这问题意义不大的样子,大家同意不.我确实也不知道怎么答好,不过也更表示我对新老版没有太多的研究和了

分享关于Servlet2.5 的新特征

servlet 2005年9月26日,Sun公司和JSR154的专家组发布Servlet API的一个新的版本.在一般情况下,一个JSR的新版本仅仅包括对以前少数有名无实的规范进行去除更新.但这次,新版本中增加新的特征和变化,他们对Servlets的产生重要影响,使得Servlet的版本升到了2.5. 在这篇文章里,我主要谈谈Servlet2.5版本中的新特征.描述每一个变化,阐述那些必要变化产生的背景,并展示如何在基于Servlet的项目中利用这些变化. 事实上,这是我为JavaWorld提供

JDK5.0的11个主要新特征

1  泛型(Generic) 1.1 说明 增强了java的类型安全,可以在编译期间对容器内的对象进行类型检查,在运行期不必进行类型的转换.而在j2se5之前必须在运行期动态进行容器内对象的检查及转换 减少含糊的容器,可以定义什么类型的数据放入容器 ArrayList<Integer> listOfIntegers; // <TYPE_NAME> is new to the syntaxInteger integerObject;listOfIntegers = new Array

使用Oracle9i的新特征-停顿(QUIESCING)数据库

oracle|数据|数据库 原作者:Sameer Wadhwa 停顿(Quiescing)一个数据库是一个强大的新特征,使得DBA可以完成一些数据库处于受限模式(restricted mode)才能完成的一些操作.使用这个特征,当以sys或system帐户登陆后,DBA可以执行查询,PL/SQL,和进行其它的一些事务.而所有其它用户的会话都将处于暂停(suspended)的状态,一旦DBA把数据库置回到正常模式,用户的这些会话又将会自动继续运行了. 图 1a:数据库处于正常状态 . 图 1b:

ASP.NET Whidbey 中新的代码编译功能

asp.net|编译 ASP.NET Whidbey 中新的代码编译功能G. Andrew DuthieGraymad Enterprises, Inc. 2003 年 10 月 摘要:了解如何利用 ASP.NET Whidbey 更轻松地使用代码.Code 目录会自动为您的站点编译代码,而预编译会使部署工作更容易. 下载本文的源代码.(请注意,在示例文件中,程序员的注释使用的是英文,本文中将其译为中文是为了便于读者理解.) 目录简介新的模块化代码模型\Code 目录利息计算器预编译支持在位预编

Java线程:新特征-线程池

有关Java5线程新特征的内容全部在java.util.concurrent下面,里面包含数目众多的接口和类,熟悉这部分API特征是一项艰难的学习过程.目前有关这方面的资料和书籍都少之又少,大所属介绍线程方面书籍还停留在java5之前的知识层面上. 当然新特征对做多线程程序没有必须的关系,在java5之前通用可以写出很优秀的多线程程序.只是代价不一样而已. 线程池的基本思想还是一种对象池的思想,开辟一块内存空间,里面存放了众多(未死亡)的线程,池中线程执行调度由池管理器来处理.当有线程任务时,从

Java线程:新特征-信号量

因此,本人认为,这个信号量类如果能返回数目,还能知道哪些对象在等待,哪些资源可使用,就非常完美了,仅仅拿到这些概括性的数字,对精确控制意义不是很大.目前还没想到更好的用法. 下面是一个简单例子: import java.util.concurrent.ExecutorService; import java.util.concurrent.Executors; import java.util.concurrent.Semaphore; /** * Java线程:新特征-信号量 * * @aut