閱讀目錄
一:腳本攻擊
二:模擬腳本攻擊
三:運行效果
四:預防腳本攻擊的主要方法
一:腳本攻擊
腳本攻擊是指將惡意的字符插入到網頁中來,瀏覽器無法驗證這些插入的字符,並且會將它們作爲網頁的一部分進行處理
從瀏覽器的角度來看,網頁只是一個長的字符串,瀏覽器會按照順序處理這個字符串,在此過程中,會顯示某些字符,同時按照某些規則解釋其他字符如:<script>,如果惡意用戶將某些特殊字符插入到網頁中來,則瀏覽器不知道這些特殊字符不應該處於該位置,而將它們作爲頁面的一部分處理起來
假如現在有個用戶在TextBox中輸入惡意代碼如:<script>alert('我進來了,我是來攻擊你的');</script>,我們單擊一個按鈕在Lable控件上顯示用戶輸入的內容,單擊按鈕就會彈出一個提示框,這種情況被稱爲腳本攻擊
二:模擬腳本攻擊
ScriptAttack aspx.aspx
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
namespace EPG.WebAdmin.Security
{
public partial class ScriptAttack_aspx : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
}
protected void btnOK_Click(object sender, EventArgs e)
{
this.Label1.Text = this.txtInput.Text;
}
}
}
三:運行效果
界面設計
提交按鈕後
四:預防腳本攻擊的主要方法
預防腳本攻擊的主要方法是決不信任用戶錄入的信息,在網頁上顯示用戶錄入的字符串之前,應對其進行HTML編碼
我們對其進行HTML編碼後,發現以前“<script>alert('我進來了,我是來攻擊你的');</script>”中的“<”被替換爲“<”了,“>” 被替換爲“>”了,“'”被替換爲了“'”
protected void btnOK_Click(object sender, EventArgs e)
{
this.Label1.Text = Server.HtmlEncode(this.txtInput.Text);
}
單擊按鈕後
查看源文件
