迭戈

博客园 首页 新随笔 联系 管理

2011年4月18日 #

摘要: Web开发中不可避免的要防止XSS,防止XSS当然要进行Encode(这里是广义,表示Encode和过滤掉特殊标签,下面不再解释),分为输出和输入。各有用处,比如,您提交保存并显示一块内容,那么多数情况下,您需要对输出进行Encode;对于搜索功能,您需要对查询条件进行(输入)Encode,例如:当在查询参数里面输入<scrpit>之类的东西时候您可能需要去掉它,得到所谓安全的参数,也就是查询id=111和查询id=111><script>出来的结果是一样的。我今天暂时尝试了对输入进行Encode。MVC里面有一个机制非常有用,您可以利用它完成很多事情---Mod 阅读全文
posted @ 2011-04-18 12:51 Will Meng 阅读(1757) 评论(6) 推荐(3) 编辑