XSS(Cross-Site-Scripting)跨站攻击方式以及防御[待续]

打算：方法一：保存在数据库之前，应该先用server.HtmlEncode()方法，把<等转换为html编码&lt;

然后再入库(从源头抓起)，这样作为数据源显示在页面中，比如评论内容，显示的是文本html编码后的<script></script>，也就是看上去是字符串，不会当作html和js解析,原本意图失败.

输入关键字查询的时候，用SqlParameter会把输入的字符当成一个整体的字符串，不会被注入。显示查询关键字<script>xxx结果:，同样HtmlEncode，在显示。

方法二：写一个公共方法，把关键字替换为 "" 或html编码后的字符。（但是难保漏网之鱼）

 

 

常用转译字符：

半方大的空白 &ensp; &#8194;
全方大的空白 &emsp; &#8195;
不断行的空白格 &nbsp; &#160;
< 小于 &lt; &#60;
> 大于 &gt; &#62;
& &符号 &amp; &#38;
" 双引号 &quot; &#34;
? 版权 &copy; &#169;
? 已注册商标 &reg; &#174;
? 商标（美国） ? &#8482;
× 乘号 &times; &#215;
÷ 除号 &divide; &#247;