Защита от Cross-Site Scripting атаки в ASP.NET : Программирование для всех. Языки программирования, программирование баз данных, технологии. Статьи для програмиста скачать бесплатно учебники книги документация форум : Статьи

Небольшой набор правил, соблюдая которые возможность XSS атаки на ваш сайт сведется к минимуму. Цель Cross-Site-Scripting атаки - выполнение клиентского кода в пределах вашего web-приложения. Статья эта относится именно к ASP.NET, другие платформы и языки имеют другие возможности.

Два главных правила:

Фильтрация входящих данных – любые данные от клиента это опасные данные, они должны быть проверены и обработаны. Это можно делать через RegularExpressionValidator и RangeValidator, в более сложных ситуациях подойдут регулярные выражения на стороне сервера(System.Text.RegularExpressions.Regex).

Обработка исходящих данных – Используйте HttpUtility.HtmlEncode для кодирования содержимого при отображении, которое получено от пользователя или из базы данных.

И так, на что стоит обратит внимание:

Включайте ASP.NET Request Validation

По умолчанию request validation включен в файле Machine.config. Эту настройку также можно изменить через Web.config или на самой странице.

Проанализируйте отдачу HTML кода вашего сайта

Например, код такого вида Response.Write(Request.Form["name"]); передает клиенту не обработанные параметры из HTTP запроса, это не безопасно. Атакующий сможет передать в параметре, например, вот такой код: <script>alert('hello');</script> который выполнится у клиента.

Обрабатывайте отдаваемый HTML

Если данные которые вы отображаете созданы пользователем(например комментарии в блоге), при отображении надо воспользоваться методом HttpUtility.HtmlEncode() который заменяет все специальные символы(<, > и т.д.).

Кодируйте URL строки

Аналогично HTML, кодируются URL строки полученные от пользователя методом HttpUtility.UrlEncode

Фильтрация пользовательских данных

Если ваша ASP.NET страница с богатым функционалом принимает от пользователя данные с HTML, например, есть возможность использовать HTML форматирования, приходится отключать request validation. В таком случае стоит фильтровать все HTML тэги кроме пары базовых, типа  и , на стороне сервера. Пример кода:

StringBuilder sb = new StringBuilder( HttpUtility.HtmlEncode(htmlInputTxt.Text));

sb.Replace("", "");

sb.Replace("", "");

sb.Replace("", "");

sb.Replace("", "");

Не доверяйте кукам(Cookie)
Используйте атрибут security="restricted" у frame.
Применяйте innerText а не innerHTML в вашем коде.

Автор: http://web2skill.com/

Инструмент для программистов VivaMP предназначен для помощи разработчикам параллельных программ на базе OpenMP. В статье приведен краткий обзор программного продукта.

Создаем контекстно-зависимое WPF-приложени....

Начинаем цикл публикаций, призванных помочь начинающим программистам в создании контекстно-зависимых приложений для Windows 7. Об этом много говорили на PDC да и мы неоднократно писали о этом новом классе приложений. Пользователи Windows 7 build 6801 могли заметить появление в гаджете погоды опции автоматического определения местоположения компьютера. И сегодня у вас появилась уникальная возможность попробовать себя в создании подобных приложений.

В связи с началом программы Customer Preview Program (CPP) для Windows Vista® Service Pack 2 (SP2) хотелось бы вкратце рассказать об основных особенностях этого пакета, а также призвать вас к его загрузке и тестированию. Windows Vista SP2 представляет собой традиционный пакет сервисных обновлений, включающий все накопительные обновления безопасности, выпущенные с момента релиза SP1 в марте 2008 года. Кроме того, Windows Vista SP2 добавляет поддержку новых типов устройств и развивающихся стандартов, которые обретут популярность уже в ближайшее время, и включает все хотфиксы, обнаруженные через программу улучшения качества ПО (CEIP).