如何从跨站点脚本中清除ashx-url
本文关键字:清除 ashx-url 脚本 站点 | 更新日期: 2023-09-27 17:58:42
例如,我有一个处理程序MyPage.ashx?parameter=1¶meter=2
如果有人添加到url的末尾<script>alert('Test')</script>
MyPage.ashx?parameter=1¶meter=2<script>alert('Test')</script>
javascript将在客户端上执行
有没有从跨站点脚本中清除url?
javascript之所以被执行,是因为您输出的是原始用户输入。
如果您的ashx需要输出参数,则必须对其进行适当的编码。假设你在ashx页面中创建HTML,你需要在输出参数值之前对其进行HtmlEncode编码。对于特定类型有不同的编码方法,如果没有更多ashx脚本的细节,很难判断哪些需要使用。
检查ASP.NET请求验证
除此之外,您永远不应该将未配置或未验证的请求输入参数呈现回客户端。