[ASP] Mittel gegen XSS Angriffe

Claudius Ceteras activeserverpages at glengamoi.com
Fri, 26 Nov 2004 13:27:58 +0100

Previous message: [ASP] Mittel gegen XSS Angriffe
Next message: AW: [ASP] Mittel gegen XSS Angriffe
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

> in der Anwendung werden einige Usereingaben ( nur Freitext 
> )erwartet. Dies ist ja eine potentielle Angriffsstelle für 
> XSS Attacken. Um dem jetzt vorzubeugen habe ich folgende 
> Maßnahmen ergriffen und würde gerne von Euch wissen, ob dies 
> ausreichend ist:
> 1. Es wird serverseitig nach Absenden des Forms der 
> eingegebene Text nach Sonderzeichen geprüft. Angemeckert 
> werden: < > ' % ; ) ( & + - und "
> 2. Beim wiederanzeigen der bisher eingegebenen Daten bei 
> einer Fehlermeldung, verwende ich für die Textausgabe 
> Server.URLEncode um evtl.
> noch vorhandene Konstrukte zu bearbeiten.

Du musst nicht meckern... Alles Durch HTMLEncode(!) schicken sollte =
reichen.
Bei einzeiligen Textfeldern kannst Du auch noch zusätzlich Umbrüche
rauswerfen.


Claudius

Previous message: [ASP] Mittel gegen XSS Angriffe
Next message: AW: [ASP] Mittel gegen XSS Angriffe
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]