لوگوی جشنواره وب و موبایل ایران

ASP.net, امنيت

دفع حملات XSS در Asp.net

تبلیغات
دوره آموزش طراحی وب تبریز
کانال تلگرام فتولیا

با سلام.

برای دفع حملات Xss در Asp.net راه های خیلی زیادی وجود داره که بعضی از اونها خیلی پیچیده و بعضی دیگه خیلی آسونه . امروز یه روش خیلی ساده رو آموزش می دم و امیدوارم بدردتون بخوره البته این روش چندان پیشرفته و حرفه ای نیست ولی تا حدود زیادی می تونه به شما در دفع حملات Xss که با استفاده از تزریق کدهای Html انجام می شه رو بگیرید . ابتدا تابع زیر را تعریف کنید :

استفاده از این کلاس بسیار ساده می باشد. همان طور که در کد زیر می بینید ابتدا با استفاده از تابع HtmlEncode تمام کدهای html را فقط نمایش دادنی می کنیم (در صورت اجرا هیچ اثری روی صفحه نمی گذارند) و بعد کدهای html را توسط RemoveHTMLAllTage حذف می کنیم.

در همین رابطه مطالعه کنید:   هشدار به یک آسیب پذیری خطرناک ASP.NET

شاید این سوال پیش بیاید که چرا باید از این تابع استفاده شود در صورتی که HtmlEncode قبلا کدها را بی اثر می کند ؟ که باید بگم این تابع صرفا برای حذف element های html در داده های رشته ای می باشد ولی در بعضی موارد می تواند کمک شایانی در دفع حملات کند.

3 Comments

  1. من نمی دونم چرا سایت برام هر چند وقت دو سه روز برام بالا نمیاد مشکل از کجاست ؟ علی جان شاید سرور چندان قوی نباشه در هر صورت الان یه پینگ می گیرم بهت می گم

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *