1. 首页
  2. 问答
  3. XSS减缓HTML/VBScript中/经典的ASP

XSS减缓HTML/VBScript中/经典的ASP

2011-10-26 89 views
0

我在我的网页代码面临以下假设的XSS漏洞:XSS减缓HTML/VBScript中/经典的ASP

原代码:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='" &Session("acctno")& "'>

遭到黑客攻击代码:<INPUT TYPE=HIDDEN NAME='acctno' VALUE='12345'/><script>alert(98765)</script>

我能减轻这只需将HTMLEncode添加到值字段中的会话变量?
谢谢。

来源

2011-10-26 Raven13

回答

1

没错。您需要对所有插入到HTML中的文本进行HTML编码。

您还需要对任何插入到Javascript代码的文本进行Javascript编码,并且您需要对插入到URL中的任何文本进行URL编码。

来源

2011-10-26 19:59:32 SLaks

+0

他们应该在使用HTMLEncode之前检查该值是否为空。 –

+0

HTMLEncode方法的放置不重要,对吗?换句话说,帐号可以在页面上更高地编码,而不是特别在输入标签内? – Raven13

+0

无论您在哪里创建字符串,字符串都是字符串。只要确保你知道什么是编码在哪里。 – SLaks

相关问题

 相关问题