在留言或論壇文章等文字內容中,輸入了夾帶 javascript的文字,使得網頁在顯示內容時,順帶的執行其中的 javascript,進而對瀏覽此網頁的其他使用者造成影響。
沒有做 XSS防範措施的網頁,很容易因此就被掛上木馬等糟糕的內容。
所以,不能盡信使用者輸入的內容,最好在傳送前及顯示時,對使用者輸入的內容加做 html編碼解碼。
在 ASP .NET已經有功能強大的 Anti-XSS Library可以對付 XSS攻擊,目前最新的版本為 4.2版。
參考資料:
網站
XSS(Cross Site Scripting)攻擊會讓您遺失Cookie中的資料
[資訊安全]防範Cross-Site-Scripting(XSS)
PDF
ASP.NET 防駭指南
沒有留言:
張貼留言