亚洲欧美v-亚洲欧美v视色一区二区-亚洲欧美不卡视频-亚洲欧美成aⅴ人在线观看-亚洲欧美国产精品

防止JavaScript 注入攻擊

2016-03-14 14:03原創HTML5+JS

什么是 JavaScript 注入攻擊?

每當接受用戶輸入的內容并重新顯示這些內容時,網站就很容易遭受 JavaScript 注入攻擊。讓我們研究一個容易遭受 JavaScript 注入攻擊的具體應用程序。假設已經創建了一個客戶反饋網站。客戶可以訪問網站并輸入對產品的反饋信息。當客戶提交反饋時,反饋信息重新顯示在反饋頁面上。

客戶反饋網站是一個簡單的網站。不幸的是,此網站容易遭受 JavaScript 注入攻擊。

假設正在將以下文本輸入到客戶反饋表單中:

<script>alert(“Boo!”)</script>

此文本表示顯示警告消息框的 JavaScript 腳本。在某人將此腳本提交到客戶反饋表單后,消息 Boo! 會在將來任何人訪問客戶反饋網站時顯示的攻擊。您可能還認為別人不會通過 JavaScript 注入攻擊搞破壞。

現在,您對 JavaScript 注入攻擊的第一反應也許是不理會。您可能認為 JavaScript 注入攻擊不過是一種 無傷大雅

不幸的是,黑客會通過在網站中注入 JavaScript 進行破壞活動。使用 JavaScript 注入攻擊可以執行跨站腳本 (XSS) 攻擊。在跨站腳本攻擊中,可以竊取保密的用戶信息并將信息發送到另一個網站。

例 如,黑客可以使用 JavaScript 注入攻擊竊取來自其他用戶瀏覽器的Cookies 值。如果將敏感信息(如密碼、信用卡帳號或社會保險號碼)保存在瀏覽器Cookies 中,那么黑客可以使用 JavaScript 注入攻擊竊取這些信息。或者,如果用戶將敏感信息輸入到頁面的表單字段中,而頁面受到 JavaScript 攻擊的危害,那么黑客可以使用注入的 JavaScript 獲取表單數據并將其發送到另一個網站。

請高度重視。認真對待 JavaScript 注入攻擊并保護用戶的保密信息。在接下來的兩部分中,我們將討論防止 ASP.NET MVC 應用程序受到 JavaScript 注入攻擊的兩種技術。

 

方法 1:視圖中的 HTML 編碼

 

阻止 JavaScript 注入攻擊的一種簡單方法是重新在視圖中顯示數據時,用 HTML 編碼任何網站用戶輸入的數據

如:<%=Html.Encode(feedback.Message)%>

使用 HTML 編碼一個字符串的含意是什么呢?使用 HTML 編碼字符串時,危險字符如 < 和 > 被替換為 HTML 實體,如 &lt; 和 &gt;。所以,當使用 HTML 編碼字符串 <script>alert(“Boo!”)</script>時,它將轉換為 &lt;script&gt;alert(“Boo!”)&lt;/script&gt;。瀏覽器在解析編碼的字符串時不再執行 JavaScript 腳本。而是顯示無害的頁面

方法 2:寫入數據庫之前的 HTML 編碼

除了在視圖中顯示數據時使用 HTML 編碼數據,還可以在將數據提交到數據庫之前使用 HTML 編碼數據。第二種方法正是程序清單 4 中 controller 的情況。

如:

public ActionResult Create(string message)
{
// Add feedback
var newFeedback = new Feedback();
newFeedback.Message = Server.HtmlEncode(message);
newFeedback.EntryDate = DateTime.Now;
db.Feedbacks.InsertOnSubmit(newFeedback);
db.SubmitChanges(); 

 

// Redirect
return RedirectToAction(“Index”);
}

請注意,Message 的值在提交到數據庫之前是在 Create() 操作中經過 HTML 編碼的。當在視圖中重新顯示 Message 時,Message 被 HTML 編碼,因而不會執行任何注入到 Message 中的 JavaScript。

總結

通常,人們喜歡使用本教程中討論的第一種方法,而不喜歡使用第二種方法。第二種方法的問題在于在數據庫中最終會保留 HTML 編碼的數據。換言之,數據庫中的數據會包含奇怪的字符。這有什么壞處呢?如果需要用除網頁以外的形式顯示數據庫數據,則將遇到問題。例如,不能輕易在 Windows Forms 應用程序中顯示數據。

附加:神一般的注入

這是一個有技術含量的號牌遮擋。我們先不說其是不是能奏效,不過,這個創意相當的NB啊。當你駕車通過某些路口時,被攝像頭捕捉到你的車牌,通過OCR變成文本(圖像識別技術,這里為車牌識別技術),然后他就DROP掉數據庫,于是,上圖的這個車牌就成了SQL注入。

北京鼎盛宏利科技有限公司 | TEL/FAX:010-52237199 | Email:admin@dshlit.com

Copyright ?DSHLIT.COM. All Rights Reserved. | 京ICP備14058301-1號

在線QQ 13683107933
主站蜘蛛池模板: 出a级黑粗大硬长爽猛视频 加勒比一道本综合 | 免费a级毛片网站 | 日本欧美不卡一区二区三区在线 | 国产精品嫩模在线播放 | 三级国产精品 | 1024手机最新手机在线 | 日韩午夜高清福利片在线观看 | 97精品国产 | 国产精品福利短视在线播放频 | 欧美色图一区 | 免费看色片 | 国产综合视频在线 | 久爱视频在线观看 | 人人狠狠 | 亚洲精品欧美 | 国产毛片哪里有 | 国产精品久久久久久麻豆一区 | 中国女人三级在线播放 | 亚洲三级黄色片 | 精品国产一区二区三区不卡在线 | 久久是免费只精品热在线 | 成人18xxxx网站 | 成年视频xxxxxx在线 | 免费超爽成年大片黄 | 国产人碰人摸人爱免费视频 | 亚洲国产精品久久久久久网站 | 91porn国产 | 日本高清免费一本视频在线观看 | 精品免费久久久久久久 | 午夜色综合 | 伊人高清视频 | 黄色一级片欧美 | 久久www免费人成精品 | 国产精品大尺度尺度视频 | 日韩一区三区 | 日韩一级欧美一级 | 毛茸茸年轻成熟亚洲人 | 麻豆网站在线观看 | 我想看黄色一级片 | 亚洲精品入口一区二区乱成人 | 色综合网亚洲精品久久 |