سلام

معمولا هرجا از ادیتور استفاده می کنیم ، مجبوریم که validation request صفحه رو غیر فعال کنیم.

یکی از نکات خیلی مهم اینه که در اینجور صفحاتی که شما  validation request صفحه رو غیر فعال کردین


همیشه یادتون باشه که ورودی هاتون رو بصورت htmlEncode بگیرین.


اینجوری علامت های خطرناکی مثل  >  یا  <  به عبارات بی خطری مثل   &gt;  و &lt;  تبدیل میشن که خاصیت اجرا شدن ندارن وفقط خاصیت نمایش دارن.


پی نوشت :

در حمله XSS هکر کد جاوا اسکریپت خودشو توی تکست باکس میزیره و شما هم که از همه جا بی خبر ریال راحت اونو توی دیتابیس میریزین و توی صفحات سایتتون نشون میدین و اینجوری هکر عزیز خیلی راحت می تونه کوکی ها و اطلاعات مهم تک تک بازدید کنندگان سایت شما رو بدست بیاره.


asp.net بصورت پیش فرض محتوای تمامی تکست باکس ها رو چک می کنه و با دیدن عبارات خطرناک ، کلا اجازه postBack  شدن صفحه رو نمیده  ، ولی گاهی نیاز دارین که این خاصیت رو بصورتی که گفتیم غیر فعال کنیم.

البته در نسخه 4 asp.net بنده به ضخصه دیدم که حتی وقتی $ یا # توی تکست باکسی نوشته میشه ، صفحه ارور validate میده !

که این خودش داستانیه !

برای اینکه مثلا کاربرای سایتتون اینحوری نمی تونن پسوردای با ضریب امنیتی بالا با کمک کاراکترهای خاص برای خودشون انتخاب کنن ...

نوشته شده در تاریخ شنبه 5 اسفند 1391    | توسط: ح.م    | طبقه بندی: آموزش امنیت در asp.net،     | نظرات()