62,041
社区成员
发帖
与我相关
我的任务
分享请教关于AntiXSS的问题
做了个网站,使用百度站长检测时提示存在“Xss漏洞”,漏洞地址如:
http://www.xxx.com/product.aspx?key=
现在想用微软的AntiXSS来防这个,疑问是:
1、使用Sanitizer.GetSafeHtmlFragment后,key参数后面输入<script>alert("script injection/n"+document.cookie);</script><body>之类的内容,程序还是会报错.如果要防的话,是调用这个方法吗?
2、如何测试是否添加的代码已经能正确防xss了
http://www.xxx.com/product.aspx?key=
现在想用微软的AntiXSS来防这个,疑问是:
1、使用Sanitizer.GetSafeHtmlFragment后,key参数后面输入<script>alert("script injection/n"+document.cookie);</script><body>之类的内容,程序还是会报错.如果要防的话,是调用这个方法吗?
2、如何测试是否添加的代码已经能正确防xss了
...全文
请发表友善的回复…
发表回复
test_ufo 2014-11-20
- 打赏
- 举报
目前这个地址主要 是用来模糊查询,不想每个查询都用SqlParamenter参数来写,所以就想有没方便点的方法,在获取key参数值时,使用AntiXSS来过滤一些
threenewbee 2014-11-20
- 打赏
- 举报
不要通过字符串拼接产生html/js代码,特别是拼接的字符串来自用户输入,或者用户可以修改的变量。
至于检测工具的报告只是一个参考。
