[stored_XSS 問題] C# web form 後端寫InnerHtml

#html @asp.net webform #c# #xss

安格利吉娃娃 2022-12-05 15:46:46 ‧ 1611 瀏覽

C# web form
後端寫innerhtml[stored_XSS 問題]

htmlID.InnerHtml = "<h1>This is a Heading</h1><p>This is a paragraph.</p>"

請問各位大大如何修正...
不能加上 HttpUtility.HtmlEncode
因為他本來就是html code......

看更多先前的討論...收起先前的討論...

froce iT邦大師 1 級 ‧ 2022-12-05 16:07:10 檢舉

你在後端可以先對html去做過濾xss的動作吧？
用些libary？
https://blog.darkthread.net/blog/antixss-in-aspnet/

player iT邦大師 1 級 ‧ 2022-12-05 18:20:18 檢舉

後端輸出的東西
除非你是從資料庫取值
而且存入的來源是源自使用者輸入
不然基本上後端寫死的東西
有必要擔心XSS嗎?

froce iT邦大師 1 級 ‧ 2022-12-06 15:45:19 檢舉

> 有必要擔心XSS嗎?

或許不是擔心XSS，是擔心跳出XSS警告過不了掃描。

安格利吉娃娃 iT邦新手 4 級 ‧ 2022-12-16 13:46:02 檢舉

對的~~ 是掃描><QQ

安格利吉娃娃 iT邦新手 4 級 ‧ 2022-12-16 13:47:38 檢舉

謝謝各位大大的建議
我後來有找到前端return到後端的源頭加上encode!!

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

demibull

iT邦新手 5 級 ‧ 2022-12-05 16:27:50

㊣浩瀚星空㊣ iT邦大神 1 級 ‧ 2022-12-05 21:01:52 檢舉

建議你不要回答沒有意義的話。如「不錯」「很好」跟你的NICE。
這邊可是有「沒有幫助」的選項。
對你的點數不會有幫助的。

demibull iT邦新手 5 級 ‧ 2022-12-06 17:48:02 檢舉

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

IT邦幫忙