asp防范跨站点脚本攻击的的方法

防范跨站点脚本攻击的的方法 :1
1.利用 空格 替换特殊字符 % < > { } ; & + - " ' ( )
2.使用@,具体而言是将以下语句
exec="insert into user(username,psw,sex,department,phone,email,demo) values('"&username&"','"&psw&"','"&sex&"','"&department&"','"&phone&"','"&email&"','"
&@demo&"')"
conn.execute exec
替换成:
exec="insert into user(username,psw,sex,department,phone,email,demo) values(
'@username','@psw','@sex','@department','@phone','@email','@demo')"
conn.execute exec 

以上来自: 脚本之家(www.jb51.net) 详细出处参考:http://www.jb51.net/article/13411.htm
防范跨站点脚本攻击的办法:2
1.设置白名单,只认为在白名单中的字符才是合法的字符,当用户输入的字符在白名单之外,全部过滤。如使用正则表达式过滤。
2.输出时HtmlEncode。
3.Asp.Net中在可能潜在攻击的页面中开启Validate Request。
4.对所有的html属性添加双引号,闭合属性。
5.IE中使用 HttpOnly Cookie。
6.IE的Frame中加 Frame Security属性。
7.使用XSSDetect做检查, XSSDetect是MS集成在VS2005中的XSS检查工具非常好用。
以上出自:http://www.zhangsichu.com/blogview.asp?Content_Id=104

你可能感兴趣的:(asp)