在VB.NET Web应用程序中阻止javascript注入的最佳方法是什么?有没有办法在pageload事件上禁用javascript?
最近,我们的vb.net产品的部分安全计划是简单地禁用页面上特定用户无法使用的按钮.但是,我告诉那个想到打字的人
javascript:alert(document.getElementById("Button1").disabled="")
在地址栏中将重新启用该按钮.我确信其他人之前遇到过这样的问题,所以任何帮助都会受到赞赏.谢谢!
更新: 除了验证用户输入外,如何保护网站免受地址栏的限制?
感谢您的投入!我很感激!
您对应用程序的客户端行为所做的任何更改都是肤浅的,根本不安全.你不应该依赖这些.他们很高兴能阻止99%的用户,但绕过它们很容易.您应该在调用操作时检查用户是否对服务器端的操作具有正确的权限,这样如果有人确实决定自己重新启用该按钮,他们将无法执行该按钮的意图.做.您无法控制某人可以使用javascript对页面执行的操作,因此您永远不应该信任来自客户端的任何内容.
对更新的回应:你不能以任何实际的方式,这正是问题所在.一旦网站进入他们的浏览器,它就是一个免费的,他们可以自己去做.这就是为什么你的程序应该每次都验证服务器端的一切.
要考虑的最重要的项目是html编码用户输入.如果用户输入
京公网安备 11010802040832号 | 京ICP备19059560号-6 