2
我有一个与SignalR开发的聊天应用程序。在聊天中,用户发送消息,现在我想让它安全,以便用户不能发送JavaScript或类似的东西。我应该注意什么(即剥离标签)?聊天不会在数据库中进行,它只是将消息从一个用户的文本区域中继到所连接的其他用户的浏览器。将文本发送到其他客户端的浏览器有哪些漏洞?
A
回答
2
基本上你想防范XSS - 在“Escaping(aka Output Encoding)”中看到https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#Escaping_.28aka_Output_Encoding.29。
在输出到目标浏览器时,在源文件中输入的任何字符都应该使用HTML编码。这会将诸如<script>之类的序列转换为HTML以用于显示。
<script>
个人而言,我不会刻意剥标签,相信输出消毒是被去,因为这是安全的,允许最大的自由度,为用户不受任何限制,如果用户希望通信(会发生什么方式向他人发送一段代码,你的应用程序将剥离掉所有的HTML标签?)。
相关问题
- 1. 如何将GraphicsContext从客户端发送到服务器,然后发送到所有其他客户端?
- 2. 如何将二进制blob发送到客户端浏览器?
- 3. ASP.NET将Cookie发送到客户端浏览器
- 4. 如何从客户端(浏览器)向客户端(浏览器)发送客户端的SSL/TLS证书
- 5. Java RMI - 将客户端存根发送给其他客户端
- 6. 无法从浏览器以及其他客户端发送Headers授权
- 7. 播放发送HTML到客户端,但客户端浏览器不呈现它
- 8. XSS漏洞发送URL Safari浏览器的iOS
- 9. 从客户端切换到服务器端JavaScript(由于像在浏览器中禁用js的漏洞)
- 10. 如何将数据推送到客户端浏览器php
- 11. GWT中的客户端验证漏洞
- 12. 如何根据浏览器将客户端重定向到其他页面?
- 13. 我需要从服务器发送文件到浏览器(Web客户端)
- 14. 信息发送到浏览器中打开的所有客户,当他们在
- 15. 将Excel文件发送到客户端
- 16. 将XML文件发送到客户端
- 17. 浏览器中的websocket客户端可以发送标题吗?
- 18. 节点socket.io客户端侦听发送到其他客户端的事件
- 19. 发送文本到浏览器
- 20. SignalR - 信息发送到特定的客户端和浏览
- 21. sftp文件浏览器客户端
- 22. 从winsock发送服务器到客户端的文本文件
- 23. 发送二进制数据流客户端浏览器
- 24. 在网络浏览器中发送客户端证书
- 25. 如何从浏览器客户端发送HTML电子邮件?
- 26. 将XML文件内容从客户端浏览器发布到服务器
- 27. 客户端(浏览器)如何生成发送到服务器的请求?
- 28. 如何查找浏览器漏洞?
- 29. c#twilio客户端浏览器到浏览器调用
- 30. 如何从Google App Engine的python脚本中将字符串作为文件发送到浏览器客户端
好的答案!我想知道是否有反正你可以把我推荐给输出消毒的例子,谢谢! – anthonypliu 2012-08-03 09:16:29
你不说你是使用WebForms还是MVC?但无论哪种方式看看Server.HTMLEncode方法,这将做你在http://msdn.microsoft.com/en-us/library/w3te6wfz.aspx ...与MVC有一个这种方法的快捷方式,可以通过'<%:myString%>'(而不是'<%= myString%>')来访问。任何输出到浏览器的文本都应该这样编码。 – SilverlightFox 2012-08-06 10:55:07