ASP.net XSS 問題 (DataGrid 改了前端還是沒有變化)

asp.net dataset datasource datagrid xss

fortify995 2021-11-02 09:47:10 ‧ 1342 瀏覽

分享至

181行被掃出有XSS風險但我對DataSet DataTable 還不是很熟所以決定去改前端
前端原本長這樣:

我把祂改成這樣:

顯示後的結果:

<>不是應該會被替換成&lt &gt 這種嗎?

但怎麼還是顯示<>呢?

去動了後端:

後端把每個資料去Encode應該怎麼寫呢? 我這樣好像是錯的

不好意思但我如果是輸入編碼但我前端有用 Encode 卻還是有換行效果那該怎麼解決 (如下)

水無痕 iT邦新手 3 級 ‧ 2021-11-03 08:21:16 檢舉

建議先了解一下 xss 的原理

基本上只要做到允許使用者輸入 <script>alert('xss attack')</script>
而且進入檢視跟編輯時，都要顯示原本使用者輸入的字串
而不會真正變成 js 來處理 !

fortify995 iT邦新手 5 級 ‧ 2021-11-03 11:54:46 檢舉

不好意思但我如果是輸入編<br>碼但我前端有用 Encode 卻還是有換行效果那該怎麼解決

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Samuel

iT邦好手 1 級 ‧ 2021-11-02 11:39:15

改用GridView然後設置一下這屬性?
https://docs.microsoft.com/en-us/dotnet/api/system.web.ui.webcontrols.boundfield.htmlencode?view=netframework-4.8

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

fortify995 iT邦新手 5 級 ‧ 2021-11-02 15:05:10 檢舉

不好意思需要用 DataGrid

Samuel iT邦好手 1 級 ‧ 2021-11-02 15:42:12 檢舉

試試看這篇用Server.HtmlEncode
http://developmentnow.com/2004/12/29/htmlencode-data-in-your-asp-net-datagrid/

fortify995 iT邦新手 5 級 ‧ 2021-11-03 11:31:37 檢舉

Server.HtmlEncode 也是沒有辦法我如果輸出的字裡有<BR> 他還是會有換行的效果

Samuel iT邦好手 1 級 ‧ 2021-11-03 16:47:56 檢舉

一種就是你設置黑名單讓一些HTML Tag不能允許輸入
或者可以把任何有HTML的tag轉成全形就無法達到html render效果

Samuel iT邦好手 1 級 ‧ 2021-11-03 16:57:27 檢舉

然後可以測試一下你的大於小於箭頭括號
比方
test < br > aaa
有沒有被轉成這樣
test ＆ｌｔｒ； br ＆ｇｔｒ； aaa

Samuel iT邦好手 1 級 ‧ 2021-11-03 17:01:21 檢舉

fortify995 iT邦新手 5 級 ‧ 2021-11-04 11:06:30 檢舉

不好意思一樣沒有被轉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22195 篇

完賽人數

600 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙