Tag: xss

为什么标签为x = txtName.Text; 受到XSS攻击，这里有什么预防措施？: 我有以下代码： label x = txtName.Text; 当安全团队分析了dll时，他们说可以对上面的代码执行XSS攻击。我知道文本框Text属性不会阻止XSS攻击，所以我现在该怎么办？以下修正案是否会解决问题？ label x = Server.HtmlEncode(txtName.Text);

安全运行时引擎VS AntiXSS库: 我看到Web保护库（WPL）有两个不同的选项：安全运行时引擎（SRE） AntiXSS库第一个看起来很棒，因为不需要代码，它是一个HTTPModule。第二个需要在代码上手动添加转义逻辑。尽管我提到了这个优势，但SRE并不是很受欢迎，我想知道为什么。这个库有任何已知问题或使用AntiXSS的任何重大优势，我没有看到？谢谢！

WebBrowser控件：禁用跨站点XSS过滤或其他在HTML上完全处理JS的方法: 我正在尝试使用我的Web浏览器控件从特定页面获取检索日期，包括所有子页面内容。问题是某些子页面位于一个单独的域上，因此当我尝试访问框架[通过document.windows.frames（i）.document]时，我得到了一个权限设计错误。现在我理解这种情况发生的原因，如http://msdn.microsoft.com/en-us/library/ms533028.aspx所述。但是，与浏览不希望javascript嗅探其历史记录/ cookie的网站的用户不同，我实际打开我的程序并运行应用程序。即使我必须手动更改安全设置，还有任何工作要做吗？我尝试将IE中的所有设置都设置为允许并且仍然出现相同的错误。我将只在本地运行应用程序，没有人会在IE上浏览，所以我可以逐字地更改使其工作所需的任何东西（甚至安装旧的IE版本，可能允许它，但仍然可以处理JS处理）。注意我使用Web浏览器的原因是我将访问的绝大部分数据都是JS生成的，所以我需要在JS处理/生成HTML后访问DOM。因此，仅使用SOCKETS获取HTML实际上不是一种选择。即使我有HTML，我仍然需要某种类型的引擎来处理所有基于javascript的DOM元素。如果您知道替代方案，那也完全可以接受！提前致谢！