跳到主要內容

在ASP.Net防止 SQL Injection和參數篡改

看到保哥貼了 Hacking is child's play ,就算有參數化SQL指令,但使用者輸入資料(例如討論區等)還是很難防,所以小小做個筆記。

今年的MSDN Magazine有一篇保護 ASP.NET 應用程式的安全,裡頭就提到AntiXSS,其實AntiXSS是Microsoft Web Protection Library的一部份。

原本AntiXSS包含了Sanitizer 物件,在4.x後分成兩個DLL,但是目前微軟網站的Microsoft Anti-Cross Site Scripting Library V4.2並未包含Sanitizer 進去,因此必須自己下載Source Code編譯。

我編好後,把HtmlSanitizationLibrary.dll 加到專案,就有Sanitizer可用;另一方面編譯出來的AntiXSSLibrary.dll 是4.1.0版,下載的AntiXSSLibrary.dll 是4.2.0版,所以我沿用官方版。

這樣一來,只要在 .cs 加上 using Microsoft.Security.Application; 就可以用 string cleanData = Sanitizer.GetSafeHtmlFragment(wysiwygData); 把一些script或編碼資料去除。

同時也可以在 web.conf裡的 <system.web>區塊加上
 <httpRuntime encoderType=   "Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>
,改用較安全版本。
因為這個屬性只能出現一次,所以像我有加大Request的,就必須寫成一行
 <httpRuntime maxRequestLength="2097151" encoderType=   "Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>

留言

這個網誌中的熱門文章

自然人憑證讀卡機驅動程式

鳥毅用的是第一代的自然人憑證讀卡機,EZ100PU(後來有同事買EZmini可以讀SIM卡似乎更好),每年報稅時用一次。

本來只是要申請些政府業務,一時之間找不到光碟,沒想到在驅動程式下載居然看到Linux和Mac的驅動程式,剩下的就是政府單位的網頁和程式應該改版了吧!!!

在Windows Server設定L2TP over IPSec VPN

簡單地說,macOS Sierra與iOS 10發表後,大家忽然發現Apple不再支援PPTP,所以一定得設定其他的VPN型態。若不要另外裝client,用L2TP是最方便的,SSL VPN雖然好,但若沒有安裝Agent要連線到任一電腦或是非網頁服務還是挺麻煩的。