第 19 章 ASP.NET MVC 基础(三)课件.ppt

《第 19 章 ASP.NET MVC 基础(三)课件.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、第五篇ASP.NET高级编程东鹏电子信息有限公司2内容第15章图形图像编程第16章ASP.NET和AJAX第17章ASP.NETMVC基础（一）第18章ASP.NETMVC基础（二）第19章ASP.NETMVC基础（三）第19章ASP.NETMVC基础（三）主讲：Jayce_Zou第六部分阻止JavaScript注入攻击主讲：Jayce_Zou本部分的目的是解释如何在ASP.NETMVC应用程序中阻止JavaScript注入攻击。本部分讨论防止网站遭受JavaScript注入攻击的两种方法。我们将学习如何通过编码显示的数据防止JavaScript注入攻击。

2、我们还将学习如何通过编码接受的内容防止JavaScript注入攻击。什么是JavaScript注入攻击？主讲：Jayce_Zou每当接受用户输入的内容并重新显示这些内容时，网站就很容易遭受JavaScript注入攻击。让我们研究一个容易遭受JavaScript注入攻击的具体应用程序。假设已经创建了一个客户反馈网站，客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时，反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是，此网站容易遭受JavaScript注入攻击。假设正在将以下文本输入到客户反馈表单中：此文本表示显示警告消息框的JavaScript脚本。在某人将此脚本提交到客户反馈表单后，消息Boo!会在将来任何人访问客户反馈网站时显示。现在，您对JavaScript注入攻击的第一反应也许是不理会。您可能认为JavaScript注入攻击不过是一种无伤大雅的攻击。您可能还认为别人不会通过JavaScript注入攻击搞破坏。不幸的是，黑客会通过在网站中注入JavaScript进行破坏活动。使用JavaScript注入攻击可以执行跨站脚本(XSS)攻击。在跨站脚本攻击中，可以窃取保密的用户信息并将信息发送到另一个网站。例如，黑客可以使

4、用JavaScript注入攻击窃取来自其他用户浏览器的Cookies值。如果将敏感信息（如密码、信用卡帐号或社会保险号码）保存在浏览器Cookies中，那么黑客可以使用JavaScript注入攻击窃取这些信息。或者，如果用户将敏感信息输入到页面的表单字段中，而页面受到JavaScript攻击的危害，那么黑客可以使用注入的JavaScript获取表单数据并将其发送到另一个网站。主讲：Jayce_Zou7解决方法1：视图中的HTML编码主讲：Jayce_Zou阻止JavaScript注入攻击的一种简单方法是重新在视图中显示数据时，用HTML编码任何网站用户输入

5、的数据：<%=Html.Encode(feedback.Message)%>使用HTML编码一个字符串的含意是什么呢？使用HTML编码字符串时，危险字符如<和>被替换为HTML实体，如<和>。所以，当使用HTML编码字符串时，它将转换为<script>alert(“Boo!”)</script>。浏览器在解析编码的字符串时不再执行JavaScript脚本，而是显示无害的页面。8方法2：控制器中的HTML编码主讲：Jayce_Zou除了在视图中显示数据时使用HTM

6、L编码数据，还可以在将数据提交到数据库之前使用HTML编码数据。publicActionResultCreate(Models.NewFeedBackfb){NewFeedBacknewFeedBack=newNewFeedBack();newFeedback.Message=Server.HtmlEncode(fb.message);newFeedback.EntryDate=DateTime.Now;db.Feedbacks.InsertOnSubmit(newFeedback);db.SubmitChanges();ReturnRedirectToA

7、ction("Index");}9主讲：Jayce_Zou请注意，Message的值在提交到数据库之前是在Create()操作中经过HTML编码的。当在视图中重新显示Message时，Message被HTML编码，因而不会执行任何注入到Message中的JavaScript。通常，人们喜欢使用我们讨论的第一种方法，而不喜欢使用第二种方法。第二种方法的问题在于在数据库中最终会保留HTML编码的数据。换言之，数据库中的数据会包含奇怪的字符。这有什么坏处呢？如果需要用除网页以外的形式显示数据库数据，则将遇到问题。例如，不能轻易在WindowsForms应用程序中

8、显示数据。10总结主讲：Jayce_Zou本部分的目的是引起读者对