Security 如何确保网站安全检查

如何保护窗体免受脚本注入攻击。这是攻击者试图通过表单字段注入JS脚本的最常用的攻击形式之一。此案例的验证必须检查表单字段中是否有特殊字符。寻找 互联网/jquery等允许字符的建议、推荐& 字符屏蔽验证JS代码。

您可以使用（如果您使用PHP，或者您可能有其他语言选项）来避免攻击，但请记住，没有完美或100%可靠的解决方案。这应该对您有所帮助，并且始终记住，服务器端验证总是最好的，而不是依赖javascript，因为坏人可以轻松绕过javascript禁用

对于，需要从查询中转义无效字符，这些字符可用于操作或注入查询，并对要插入数据库的所有值使用类型转换

---

有关更多安全风险以及如何避免这些风险，请参阅。请注意，即使您不使用PHP，安全性的基本思想也是相同的，这将使您更好地了解安全注意事项。

ASP.NET有一个名为的功能，可以防止服务器处理未编码的HTML。为了获得额外的保护，可以使用。

您可以通过编码html内容来防止脚本注入，如

---

Server.HtmlEncode（输入）

也有。

如果您在html上下文中输出用户控制的输入，那么您可以在处理输入（html净化、自定义输入验证）和/或在输出前对值进行html编码时遵循其他输入并进行清理

htmlencodng/strip标签（无需标签）不足的情况：

用户输入显示在属性中，这取决于您是否始终（双）引用属性（错误）

在on*处理程序中使用（例如onload=“…”），那么html编码是不够的，因为javascript解析器是在html解码后调用的。

出现在javascript部分-取决于这是在带引号的区域（htmlentity encode不够）还是在不带引号的区域（非常糟糕）。

返回为json，可能需要评估。需要javascript转义。

出现在CSS中-CSS转义不同，CSS允许javascript（表达式）

此外，这些漏洞并不能解释浏览器的缺陷，如不完整的UTF-8序列漏洞、内容类型嗅探漏洞（UTF-7漏洞）等

---

当然，您还必须处理数据以防止其他攻击（SQL或命令注入）.

关于这一点，最好的参考是在

他在asp下吗？你怎么知道的？如果请求验证打开，asp.net就会抛出一个黄页，这不是最好的方法。要么使用一些库来处理XSS，要么自己编写。不知道，我们已经介绍了asp.net和PHP，他使用冷融合的可能性有多大…：@Adeel是的，如果检测到可疑请求，则会抛出HttpRequestValidationException。这很好，因为您可以选择记录该请求并采取适当的操作，而不会让它不被注意到。只有在不处理异常或使用自定义错误页的情况下，您才能获得YSOD。您使用的是哪种技术平台？嗨，cxfx，我是我在使用JSP和Java Servlet我想你是想问，“如何在JSP应用程序中防止xss。”你提到了jquery。客户端验证很好，它可以给用户提供更快的反馈。但是，当数据到达服务器时，千万不要相信它。一定要再次检查它。