为什么标签为x = txtName.Text; 受到XSS攻击,这里有什么预防措施?

我有以下代码:

label x = txtName.Text; 

当安全团队分析了dll时,他们说可以对上面的代码执行XSS攻击。 我知道文本框Text属性不会阻止XSS攻击,所以我现在该怎么办?

以下修正案是否会解决问题?

 label x = Server.HtmlEncode(txtName.Text); 

我假设你在谈论一个WebForms Label – 从问题中不清楚(发布实际代码!)

这是ASP.NET WebForms设计的一个问题。 许多元素都有一个名为Text的属性,但该属性根据元素执行不同的操作。

您希望在控件上设置Text将设置其纯文本内容。 这种安全操作就是这个名称似乎意味着什么。 这些控件就属于这种情况:

  • 文本框
  • 按键
  • 的ImageButton
  • 项目清单

不幸的是,在一堆其他控件上,同名的属性实际上在元素中设置了HTML标记 。 因此,如果您的文本字符串中包含 ,则会在某些尖括号中显示一些粗体文本而不是字母b 。 如果文本中包含诸如字符串,则代码将在浏览器上执行,从而导致安全问题。

其中一些不幸的不安全控件是:

  • 标签
  • 超链接
  • LinkBut​​ton的
  • 单选按钮
  • 复选框
  • TableCell的

要安全地使用它们,您必须对写入Text属性的所有内容进行HTML编码。

最后,有一个控件可以双向摆动:

  • 文字

默认情况下,这会设置HTML标记(boo!),但如果设置Mode="Encode"属性,则会设置文本。

这当然是非常令人困惑的,没有办法设计一个Web框架,但这就是我们必须使用的东西。

我不认为label x = txtName.Text; 是有效的C#。 我假设你的意思是x.Text = txtName.Text; 其中xLabel的ID。

这是一个问题,因为如果我在文本框中输入怎么办? 我的输入可以呈现给页面并作为脚本执行。 这个简单的示例可能不起作用,但有许多技巧可以使XSS工作。

您可以通过在页面上显示之前对输入进行编码来解决此问题,我建议Microsoft AntiXSS执行该任务。 我也同意你应该问你的安全团队如何修复它的评论。