gpt4 book ai didi

javascript - Web 资源的用户凭据是否需要 Html.Encode?

转载 作者:行者123 更新时间:2023-12-03 09:38:35 24 4
gpt4 key购买 nike

我们有一个简单的实用程序,可以通过 HttpWebRequest 为用户访问 Web 资源。

此网络资源需要登录凭据(用户名/密码)。凭据用于访问资源,并不存储在数据库中。

Html.Encode 用于帮助防止 XSS 攻击。然而,当这些凭证被编码时,它们可能会被破坏。例如,如果密码是 john&123,那么使用 Html.Encode 会将密码更改为 john&123,从而有效地破解密码。

我们如何安全地利用用户输入的用户名和密码字符串,同时防止 XSS?

或者,这不是一个大问题吗?因为 XSS 主要是在客户端浏览器上显示用户输入时出现的问题?如果是这样,在临时利用用户输入访问网络资源时,有什么需要注意的(安全方面)吗?

最佳答案

您可以使用 HttpUtility.HtmlDecode() 或 WebUtility.HtmlDecode() 来获取原始字符串。

但是,是的,如果字符串在页面上呈现,您只需要担心 XSS,如果在访问数据库的查询中使用字符串,则只需担心 SQL 注入(inject)。在您的情况下,听起来像是用户将凭据输入到表单中,由后端使用它来访问外部 Web 服务,然后将其丢弃。如果是这种情况,XSS/SQL 注入(inject)是外部 Web 服务的问题,而不是您的问题。

关于javascript - Web 资源的用户凭据是否需要 Html.Encode?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31253679/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com