xss(跨站脚本攻击)引起原因:
这个也有时被人们称作html注入,和sql注入原理相似,也是没有特殊字符进行处理。是用户可以提交html标签对网站进行重新的构造。其实在默认的情况下在asp.net网页中是开启validaterequest属性的,所有html标签后会.net都会验证:
但这样直接把异常抛给用户,多少用户体验就不好。
解决方法:
(1):通过在 page 指令或 配置节中设置 validaterequest=false 禁用请求验证,然后我们对用户提交的数据进行htmlencode,编码后的就不会出现这种问题了(asp.net 中编码方法:server.htmlencode(string))。
(2):第二种是过滤特殊字符,这种方法就不太提倡了,如果用户想输入小于号(<)也会被过滤掉.