サイト間スクリプト攻撃や釣り注入などの防止
urlパラメータはpostでもgetでも注入のリスクが潜在的である.使用が不適切であれば.
このようなシステム的なリスクをどのように防ぎますか?
1)独自のシーケンスと逆シーケンス化器を構築します.もちろん、このシーケンスにはフォーマットチェック機能が含まれています.newton.jsonが比較的効率的なシーケンサ(.net 4.0のjsonserializerに相当し、それぞれ千秋があり、単一の性能が高く、他のキャッシュ能力が悪い)であれば、機能を拡張したり、フォーマットチェック機能を追加したりして、転送されたパラメータがあなたのグリッドの要求に合致することを保証することができます.また,オブジェクト向けにプログラミングが可能である.この方式は大規模な応用に適した処理スキームである.
現在、当社のオープンプラットフォームのパラメータはこのような方法で処理されており、シーケンサと検証器全体が自分で開発して提供されています.
2)単純なアプリケーションは,以上のように処理する必要はなく,unsafe tagに対する代替処理である.
このようなシステム的なリスクをどのように防ぎますか?
1)独自のシーケンスと逆シーケンス化器を構築します.もちろん、このシーケンスにはフォーマットチェック機能が含まれています.newton.jsonが比較的効率的なシーケンサ(.net 4.0のjsonserializerに相当し、それぞれ千秋があり、単一の性能が高く、他のキャッシュ能力が悪い)であれば、機能を拡張したり、フォーマットチェック機能を追加したりして、転送されたパラメータがあなたのグリッドの要求に合致することを保証することができます.また,オブジェクト向けにプログラミングが可能である.この方式は大規模な応用に適した処理スキームである.
現在、当社のオープンプラットフォームのパラメータはこのような方法で処理されており、シーケンサと検証器全体が自分で開発して提供されています.
2)単純なアプリケーションは,以上のように処理する必要はなく,unsafe tagに対する代替処理である.
<[^>]*>,[/s/r/n]+, ;
|—%, ;
.net , Ihttpmodel url ;
php , strip_tags,preg_replace 。 Zend_Controller_Action_Interface 。