نحوه جلوگیری از حملات xss در Asp.net core

02:42:00 PM - 1399/09/06

سلام و وقت بخیر

دوستان بنده برای جلوگیری از حملات xss این دستور رو بالای ویوو قرار دادم

@using System.Text.Encodings.Web

و برای نمایش متنی که از ادیتور اومده و امکان داره دستوارت مخرب داشته باشه که توسط کاربر وارد شده هم دستور زیر رو استفاده کردم که متن ذخیره شده توسط ادیتور رو نشون بده و جلوی حملات xss گرفته شه

@HtmlEncoder.Default.Encode(Model.Text)

که دستور بالا به جای دستور پایین قرار داده شده چون این پایینی نا امن هست

@Html.Raw(Model.Text)

اما دیگه متن رو نشون نمیده و مثل زیر میشه. ایراد کار کجاست ؟ و راه حل چیه ؟ ممنون

لرن)&nbsp;در ایندورهبه صورت پروزهمحور سایتیشبیه همین سایتتاپلرنرا پیادهسازی خواهیم

ویرایش شده در چهارشنبه ۱۰ دی ۱۳۹۹ ساعت ۲۱:۱۰:۴۵

به این سوال امتیاز بدهید 0 تعداد بازدید این سوال : 3926

1 نظر

hosseinfullstack : چیزی که متوجه شدم اینه با فارسی مشکل داره و انگلیسی رو نشون میده. احتمالا یه تنظیماتی چیزی داشته باشه. قبلا سوالی در مورد نشون ندادن حروف فارسی که از دیتابیس میاد در view page source مرورگر پرسیدم که استاد بحرانی فرد یه کد دادن در استارتاپ قرار دادم و مشکل حل شد. اینم احتمالا چیزی شبیه اون باشه با تنظیمات دیگه

حذف امتیاز کاربر : 58 رتبه کاربر : 16 تاریخ ثبت : ۱۰:۴۶ ۱۳۹۹/۰۹/۰۶

پاسخ دهنده : hosseinfullstack 10:57:00 PM - ۱۳۹۹/۰۹/۰۶

کد زیر رو قبلا توی استارتاپ قرار دادم و مشکلی مشابه که در view page source مرورگر بود حل شد اما با این وجود دستوری که در سوال مطرح کردم با کد زیر رفع نشده

services.AddSingleton<HtmlEncoder>(
            HtmlEncoder.Create(allowedRanges: new[] { UnicodeRanges.BasicLatin,
                                            UnicodeRanges.Arabic }));

و احتمالا باید یه چیزی شبیه این باشه که مشکل رو حل کنه

ویرایش شده در جمعه ۷ آذر ۱۳۹۹ ساعت ۰۰:۵۷:۲۷

به این پاسخ امتیاز بدهید 1 نظر گزارش حذف ویرایش

پاسخ دهنده : pedram_khan 01:48:00 PM - ۱۳۹۹/۰۹/۰۷

به این پاسخ امتیاز بدهید 0 نظر گزارش حذف ویرایش

پاسخ دهنده : hosseinfullstack 05:42:00 PM - ۱۳۹۹/۰۹/۰۷

نکته جدیدی که متوجه شدم اینه که دستور زیر

@System.Text.Encodings.Web.HtmlEncoder.Create(allowedRanges: new[] { UnicodeRanges.Arabic, UnicodeRanges.BasicLatin}).Encode("hello سلام <p></p>")

که تنظیم کردیم با عربی و لاتین مشکلی نداشته باشه و دفعه قبلی توی استارتاپ گذاشته بودم ولی روی این دستور توی وویو تاثیری نداشت، الان تنظیماتش رو اوردم توی همین دستور داخل وویو تا ان کد کنه

حالا متوجه شدم این دستور با این تنظیمات با خوندن تگ ها مشکل داره و خروجی کد بالا میشه hello سلام که یعنی حروف فارسی و انگلیسی رو میخونه اما تگ ها رو نمیتونه بخونه

به این پاسخ امتیاز بدهید 0 نظر گزارش حذف ویرایش

پاسخ دهنده : hosseinfullstack 04:35:00 PM - ۱۳۹۹/۰۹/۰۸

به این پاسخ امتیاز بدهید 1 نظر گزارش حذف ویرایش

1 نظر

hosseinfullstack : البته دوستان این صحبت هام فقط در مورد xss بود چون ما انواع حملات دیگه هم داریم. مثلا برای همین آدرس ها که گفتم بحث حملات xsrf و... داریم که به روش خودش باید کنترل شه

حذف امتیاز کاربر : 58 رتبه کاربر : 16 تاریخ ثبت : ۰۴:۵۷ ۱۳۹۹/۰۹/۰۸

آموزشهای پرطرفدار