在 Web 应用程序中防止脚本利用

http://msdn.microsoft.com/library/chs/default.asp?url=/library/chs/vbcon/html/vbtskprotectingagainstscriptexploitsinwebapplication.asp

Visual Basic 和 Visual C# 概念

在 Web 应用程序中防止脚本利用

大多数脚本利用发生在用户可以将可执行代码（脚本）插入您的应用程序时。默认情况下，ASP.NET 提供请求验证。不管窗体发送包含什么样的 HTML，该验证都会引发错误。

您可以使用下列方法防止脚本利用：

• 在接受或显示字符串之前，将 HTML 编码应用于它们，以便字符串不包括任何可执行元素。
• 如果您的应用程序需要接受某些 HTML，则禁用请求验证并创建您自己的 HTML 筛选器。

本主题中的过程说明如何执行这些任务。

应用 HTML 编码

HTML 编码使用 HTML 保留字符转换 HTML 元素，以便显示它们而不是执行它们。

应用 HTML 编码

• 在显示字符串之前，调用 Server 对象的 HtmlEncode 方法。HTML 元素会转换为浏览器将显示（而不解释为 HTML）的字符串表示形式。

  以下示例说明 HTML 编码。在一个实例中，在显示用户输入之前对其进行编码。在第二个实例中，在显示数据库中的数据之前对其进行编码。

  注意   只有通过向 @ Page 指令中添加 alidateRequest="false" 来在页中禁用请求验证时，此示例才将起作用。决不禁用请求验证而不添加您自己的检查或筛选器。

  ' Visual Basic
  
  Private Sub Button1_Click(ByVal sender As System.Object, ByVal e _
  
        As System.EventArgs) Handles Button1.Click
  
     Label1.Text = Server.HtmlEncode(TextBox1.Text)
  
     Label2.Text = _
  
         Server.HtmlEncode(dsCustomers.Customers(0).CompanyName)
  
  End Sub
  
  
  
  // C#
  
  private void Button1_Click(object sender, System.EventArgs e)
  
  {
  
      Label1.Text = Server.HtmlEncode(TextBox1.Text);
  
      Label2.Text = 
  
          Server.HtmlEncode(dsCustomers1.Customers[0].CompanyName);
  
  }

筛选 HTML 元素

默认情况下，Web 窗体页检测发送到服务器的信息中的任何 HTML 元素和保留字符。这样，将防止用户试图将脚本嵌入您的应用程序。当页检测到 HTML 时，它会引发一个错误。您可以使用 Page_Error 或 Application_Error 处理程序捕捉此错误。有关详细信息，请参见显示安全的错误信息。

但是，如果您的应用程序需要接受某些 HTML 元素，可关闭请求验证，并创建一个只允许使用要接受的 HTML 元素的筛选器。

注意   不要创建试图只筛选出不可接受元素的筛选器，因为预料每个可能的错误输入十分困难。相反，如果您创建筛选器，则创建一个定义可接受输入的筛选器。

筛选 HTML 元素

1. 通过将属性 ValidateRequest="false" 添加到 @ Page 指令中禁用请求验证。

   安全说明   决不要禁用自动请求验证而不添加您自己的检查或筛选器。

2. 使用 HtmlEncode 方法对字符串进行编码。
3. 调用 String.Replace 方法，将要接受的已编码 HTML 标记转换回它们的 HTML 形式。

   提示   如果您熟悉正则表达式，则可以使用一个正则表达式来高效地执行筛选。有关详细信息，请参见 .NET Framework 正则表达式。

   以下示例说明一个简单的筛选器，它接受加粗元素和带下划线的元素（<b>、</b>、<u>、</u>）。在显示所有其他用户输入之前都对其进行编码。

   安全说明   许多 HTML 标记都允许在其属性中使用脚本。例如，标记 <img src="javascript:alert('hi')"> 是合法的。如果您希望接受比简单的格式设置标记更复杂的 HTML 标记，则必须确保恶意用户无法假借允许的 HTML 标记将脚本传递到您的应用程序。

   ' Visual Basic
   
   Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
   
      Dim userinput As String = TextBox1.Text
   
      userinput = Server.HtmlEncode(userinput)
   
      ' Accepts <b>, </b>, <u>, </u>, case-insensitive
   
      userinput = userinput.Replace("&lt;b&gt;", "<b>")
   
      userinput = userinput.Replace("&lt;/b&gt;", "</b>")
   
      userinput = userinput.Replace("&lt;B&gt;", "<B>")
   
      userinput = userinput.Replace("&lt;/B&gt;", "</B>")
   
      userinput = userinput.Replace("&lt;u&gt;", "<u>")
   
      userinput = userinput.Replace("&lt;/u&gt;", "</u>")
   
      userinput = userinput.Replace("&lt;U&gt;", "<U>")
   
      userinput = userinput.Replace("&lt;/U&gt;", "</U>")
   
      Label1.Text = userinput
   
   End Sub
   
   
   
   // C#
   
   private void Button1_Click(object sender, System.EventArgs e)
   
   {
   
       String userinput = TextBox1.Text;
   
       userinput = Server.HtmlEncode(userinput);
   
       // Accepts <b>, </b>, <u>, </u>, case-insensitive
   
       userinput = userinput.Replace("&lt;b&gt;", "<b>");
   
       userinput = userinput.Replace("&lt;/b&gt;", "</b>");
   
       userinput = userinput.Replace("&lt;B&gt;", "<B>");
   
       userinput = userinput.Replace("&lt;/B&gt;", "</B>");
   
       userinput = userinput.Replace("&lt;u&gt;", "<u>");
   
       userinput = userinput.Replace("&lt;/u&gt;", "</u>");
   
       userinput = userinput.Replace("&lt;U&gt;", "<U>");
   
       userinput = userinput.Replace("&lt;/U&gt;", "</U>");
   
       Label1.Text = userinput;
   
   }

请参见

脚本利用 | Web 应用程序安全威胁概述 | Web 应用程序的基本安全实施策略 | 安全性入口