【问题标题】:How can I remove malicious data from an HttpRequest so that it is not returned by an HttpResponse?如何从 HttpRequest 中删除恶意数据,使其不被 HttpResponse 返回?
【发布时间】:2013-08-20 17:16:40
【问题描述】:

我必须防止跨站点脚本漏洞从 HttpRequest 标头中的数据在 HttpResponse 中发送,以通过 webapp 评估。

例如HttpRequest Header:

GET /%22%20%73%54%79%4c%65%3d%58%3a%65%58%2f%2a%2a%2f%70%52%65%53%73%49%6f%4e%28% 61%6c%65%72%74%28%35%37%31%33%35%29%29%20%22 HTTP/1.1

HttpResponse 位置值:

/" sTyLe=X:eX/**/pReSsIoN(%?3e3ea140

我的网站是一个用 VB.Net 编写的 ASP.Net 网站,运行在带有 IIS 6.0 的 Windows Server 2003 上。我有哪些选择?我必须在 IIS 中使用 ISAPI 过滤器吗?

【问题讨论】:

    标签: asp.net vb.net iis xss windows-server-2003


    【解决方案1】:

    这样做的正确方法是确保数据库(或您使用的任何来源)中的数据是干净的,并确保您在服务器端验证所有用户输入。

    一旦您确认您的数据是干净的并且所有输入都经过验证,您应该是安全的。

    不确定 IIS 中是否有任何内置方法。

    【讨论】:

    • 我的问题不在于验证通过我的 Web 应用程序到数据库的输入,而是在过滤 http 请求和/或 http 响应以获取进出服务器的恶意数据。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2017-02-12
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多