XSS (Cross-site scripting)攻擊和修正

今天來聊聊資安的XSS (Cross-site scripting)攻擊手段,它是一種網站應用程式的安全漏洞攻擊，是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上，其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。

預防修補:

1. 使用 Server.HtmlEncode():將有疑慮的參數做 Html Encode 之後再拿來使用。

2. 使用 AntiXSS 套件過濾 script:安裝 AntiXSS 套件，將有 XSS 攻擊疑慮的參數丟入 Sanitizer.GetSafeHtml() 方法或 Sanitizer.GetSafeHtmlFragment() 方法。

資料來源:http://b00.tw/TCFuU