4
Server.HtmlEncode가 필요한 이유를 이해할 수 없습니까? MSDN은 잠재적으로 안전하지 않은 문자를 HTML로 인코딩 된 동등한 것으로 인코딩하는 데 사용된다고 말합니다.왜 Server.HtmlEncode가 필요합니까?
누군가이 문자가 안전하지 않아서 Server.HtmlEncode를 사용해야한다고 생각할 수 있습니까?
감사합니다.
A
답변
10
사용자가 페이지에 댓글을 제출하는 경우 문자가 안전하지 않을 수 있다는 한 가지 예가 있습니다. 주석 형식이 HtmlEncode를 사용하지 않으면 사용자가 방금 입력 한 내용이 페이지의 주석으로 표시됩니다. 이 경우, 해커는 같은 의견을 제출 할 수있는 다음 페이지 (그것이 대해 HTMLEncode로 인코딩되지 않았기 때문에), 스크립트가 실행됩니다를로드 이후의 각 사용자에 대해
<script language="javascript" type="text/javascript">
window.location = 'http://server.com/viruspage.asp';
</script>
, 각 사용자 리디렉션 바이러스가있는 페이지. 이것은 매우 간단한 예이지만 악의적 인 데이터를 입력하는 다른 많은 방법이 있으며 잠재적으로 해커가 데이터베이스에 대한 관리 액세스 권한을 부여 할 수도 있습니다.
관련 문제
- 1. 왜 저장 버튼이 필요합니까?
- 2. 왜 주조 기능이 필요합니까?
- 3. 왜 "delete []"연산자가 필요합니까?
- 4. 왜 typeof가 필요합니까?
- 5. 왜 깊이 버퍼가 필요합니까?
- 6. 프리즘 모듈 - 왜 필요합니까?
- 7. 왜 2NF가 필요합니까?
- 8. 왜 ReaderLock이 필요합니까?
- 9. 왜 RTTI가 필요합니까?
- 10. 왜 여기에 세미콜론이 필요합니까?
- 11. 왜 Control.Invoke가 필요합니까?
- 12. 왜 세션 빈이 필요합니까?
- 13. 왜 DJANGO_SETTINGS_MODULE 세트가 필요합니까?
- 14. 왜 DataBind() 메서드가 필요합니까?
- 15. 왜 여기에 typename이 필요합니까?
- 16. 왜 lex에서 규칙이 필요합니까?
- 17. 왜 스크립트 로더가 필요합니까?
- 18. 왜 libprofiler.so.0이 필요합니까?
- 19. 마샬링 - 왜 그게 무엇이며 왜 필요합니까?
- 20. 왜 MySQL 데이터베이스 스키마가 필요합니까?
- 21. 왜 피커에 데이터 소스가 필요합니까?
- 22. 자바 동기화는 언제, 왜 필요합니까?
- 23. 왜 --new-branch 플래그가 필요합니까?
- 24. 왜 포트란 POINTER에 TARGET이 필요합니까?
- 25. 왜 generics에서 "? extends"가 필요합니까?
- 26. 왜 GLfloat에 전역 범위가 필요합니까?
- 27. 왜 프로토 타입 테스트가 필요합니까?
- 28. 왜 라벨 의도 필터가 필요합니까?
- 29. 왜 배열 앞에 별표가 필요합니까?
- 30. 왜 자식 대신 darcs가 필요합니까?
두 단어로? XSS 공격. http://en.wikipedia.org/wiki/Cross-site_scripting –