В настоящее время я пытаюсь защитить свое классическое приложение ASP от XSS. Я наткнулся на AntiXSS от Microsoft в сети, и мне было интересно, будет ли это работать с классическим приложением?
Если нет, у вас есть идеи, как я могу продезинфицировать струны?
Чтобы очистить строки, я бы закодировал весь вывод в HTML, чтобы вам не пришлось возиться со специальными символами или огромными выражениями регулярных выражений.
Server.HTMLEncode(string)
Двумя наиболее важными контрмерами для предотвращения атак межсайтового скриптинга являются:
через Как: предотвратить межсайтовое выполнение сценариев в ASP.NET (i знаю, что я не классический asp, но есть похожие принципы)
Если в классическом ASP функций нет, напишите их.
Если вам нужно разрешить определенные теги HTML (как я это делаю в моем текущем проекте), вы можете использовать регулярное выражение, чтобы разрешить только эти теги и никаких других, например:
set objRegExp = new RegExp
with objRegExp
.Pattern = "<^((b)|(i)|(em)|(strong)|(br))>.*</.*>"
.IgnoreCase = varIgnoreCase
.Global = True
end with
cleanString = objRegExp.replace(originalString, "")
Это непросто - вам нужно будет создать оболочку, вызываемую через COM, установить на серверы и т. Д. Я просто не думаю, что она подходит для «классического» ASP.
