JavaScript注入攻擊

客戶反饋網站是一個簡單的網站。不幸的是，此網站容易遭受 JavaScript 注入攻擊。

假設正在將以下文本輸入到客戶反饋表單中：

此文本表示顯示警告消息框的 JavaScript 腳本。在某人將此腳本提交到客戶反饋表單后，消息 Boo! 會在將來任何人訪問客戶反饋網站時顯示

的攻擊。您可能還認為別人不會通過 JavaScript 注入攻擊搞破壞。

現在，您對 JavaScript 注入攻擊的第一反應也許是不理會。您可能認為 JavaScript 注入攻擊不過是一種 無傷大雅

不幸的是，黑客會通過在網站中注入 JavaScript 進行破壞活動。使用 JavaScript 注入攻擊可以執(zhí)行跨站腳本 (XSS) 攻擊。在跨站腳本攻擊中，可以竊取保密的用戶信息并將信息發(fā)送到另一個網站。

例 如，黑客可以使用 JavaScript 注入攻擊竊取來自其他用戶瀏覽器的 Cookies 值。如果將敏感信息（如密碼、信用卡帳號或社會保險號碼）保存在瀏覽器 Cookies 中，那么黑客可以使用 JavaScript 注入攻擊竊取這些信息?；蛘?，如果用戶將敏感信息輸入到頁面的表單字段中，而頁面受到 JavaScript 攻擊的危害，那么黑客可以使用注入的 JavaScript 獲取表單數據并將其發(fā)送到另一個網站。

請高度重視。認真對待 JavaScript 注入攻擊并保護用戶的保密信息。在接下來的兩部分中，我們將討論防止 ASP.NET MVC 應用程序受到 JavaScript 注入攻擊的兩種技術。

方法 2：寫入數據庫之前的 HTML 編碼
除了在視圖中顯示數據時使用 HTML 編碼數據，還可以在將數據提交到數據庫之前使用 HTML 編碼數據。
第二種方法正是程序清單 4 中 controller 的情況。

如:

public ActionResult Create(string message)
{
// Add feedback
var newFeedback = new Feedback();
newFeedback.Message = Server.HtmlEncode(message);
newFeedback.EntryDate = DateTime.Now;
db.Feedbacks.InsertOnSubmit(newFeedback);
db.SubmitChanges();

// Redirect
return RedirectToAction(“Index”);
}

請注意，Message 的值在提交到數據庫之前是在 Create() 操作中經過 HTML 編碼的。當在視圖中重新顯
示 Message 時，Message 被 HTML 編碼，因而不會執(zhí)行任何注入到 Message 中的 JavaScript。

總結
通常，人們喜歡使用本教程中討論的第一種方法，而不喜歡使用第二種方法。第二種方法的問題在于在數
據庫中最終會保留 HTML 編碼的數據。換言之，數據庫中的數據會包含奇怪的字符。這有什么壞處呢？如
果需要用除網頁以外的形式顯示數據庫數據，則將遇到問題。例如，不能輕易在 Windows Forms 應用程
序中顯示數據。

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com