为什么标签为x = txtName.Text; 受到XSS攻击,这里有什么预防措施?
我有以下代码:
label x = txtName.Text;
当安全团队分析了dll时,他们说可以对上面的代码执行XSS攻击。 我知道文本框Text
属性不会阻止XSS攻击,所以我现在该怎么办?
以下修正案是否会解决问题?
label x = Server.HtmlEncode(txtName.Text);
我假设你在谈论一个WebForms Label
– 从问题中不清楚(发布实际代码!)
这是ASP.NET WebForms设计的一个问题。 许多元素都有一个名为Text
的属性,但该属性根据元素执行不同的操作。
您希望在控件上设置Text
将设置其纯文本内容。 这种安全操作就是这个名称似乎意味着什么。 这些控件就属于这种情况:
- 文本框
- 按键
- 的ImageButton
- 项目清单
不幸的是,在一堆其他控件上,同名的属性实际上在元素中设置了HTML标记 。 因此,如果您的文本字符串中包含 ,则会在某些尖括号中显示一些粗体文本而不是字母
b
。 如果文本中包含诸如字符串,则代码将在浏览器上执行,从而导致安全问题。
其中一些不幸的不安全控件是:
- 标签
- 超链接
- LinkButton的
- 单选按钮
- 复选框
- TableCell的
要安全地使用它们,您必须对写入Text
属性的所有内容进行HTML编码。
最后,有一个控件可以双向摆动:
- 文字
默认情况下,这会设置HTML标记(boo!),但如果设置Mode="Encode"
属性,则会设置文本。
这当然是非常令人困惑的,没有办法设计一个Web框架,但这就是我们必须使用的东西。
我不认为label x = txtName.Text;
是有效的C#。 我假设你的意思是x.Text = txtName.Text;
其中x
是Label
的ID。
这是一个问题,因为如果我在文本框中输入怎么办? 我的输入可以呈现给页面并作为脚本执行。 这个简单的示例可能不起作用,但有许多技巧可以使XSS工作。
您可以通过在页面上显示之前对输入进行编码来解决此问题,我建议Microsoft AntiXSS执行该任务。 我也同意你应该问你的安全团队如何修复它的评论。