首页 > IT大师 > CSharp > 文章正文

不支持html是无趣的,支持html是危险的

2004/04/06 11:15:00 iTdos

不支持html是无趣的,支持html是危险的

aspnetforums2.0支持Html编辑器,可以加入很多精彩的内容,无疑是一件很爽的事情,但是对于想搞破坏的人来说可能产生一些恶意的代码。今天试着检测了一下aspnetforums2.0的安全性,首先我用在博客园使用的检测方法来试,发现只有iframe有效,不过这已经够了,利用Iframe,我可以在iframe里面加上任意恶意的代码。后来继续检测了一下样式表的脚本,后来还是让我发现了一个让我ie死了n次的恶意脚本,呵呵
<style>
body{
expression:expression(alert('welcome to aspnetforums2.0\\nI am dotey:P\\nonly a joke!'));
}
</style>
慢慢完善,应该还是可以做到很安全的:)除我试的那几种外,应该还有几种可以产生破坏的方法,就不试了。我也应该好好考虑一下该怎么样来过滤这些不安全的代码!

可能有人要问:这些代码是怎么弄到html编辑器里面的?html编辑器不是不能直接写html代码的么?

呵呵,还是不告诉你的好!

我还是喜欢支持html的论坛和博客!

本文转自:http://www.cnblogs.com/dotey/archive/2004/04/06/5279.html

用户登录
服务器端开发
C#.Net Mvc 数据库
前端开发
JavaScript Div+Css Html