跨站脚本、SQL注入、密码管理防范与修复方法
对于跨站脚本风险,防范和修复方法如下
1)开启所有页面的对请求的验证属性, DotNet默认为开启
2)客户端输出数据时,使用ASP.NET相关标签作转义
3)向客户端输出时,可使用Html.Encoding进行转义(注意:此方法不适用对标签属性内容)
4)客户端向服务器发送的数据进行安全性验证,使用黑名单限制机制,对特殊字符过滤,过滤字符为:(尖括号(<>)、百分号、&、\、加号、叹号、等号、大括号({})、#)
1)开启所有页面的对请求的验证属性, DotNet默认为开启
2)客户端输出数据时,使用ASP.NET相关标签作转义
3)向客户端输出时,可使用Html.Encoding进行转义(注意:此方法不适用对标签属性内容)
4)客户端向服务器发送的数据进行安全性验证,使用黑名单限制机制,对特殊字符过滤,过滤字符为:(尖括号(<>)、百分号、&、\、加号、叹号、等号、大括号({})、#)
对SQL注入风险,防范和修复方法如下
1)使用参数化绑定
2)对拼接数据进行安全验证,建议使用黑名单限制机制,对特殊字符进行过滤,过滤字符为:单引号、双引号、空格、百分号等。要求过滤方法为SecurityUtil(类名).doSQLCheck()(方法名)。
3)非String类型的数字类型数据,对其进行数字型强制类型转化即可。
对于密码管理风险,防范和修复方法如下
1)在配置文件中、代码中、注释中均不要存储明文密码
2)对所有数据库连接串进行加密处理,至少对密码字段进行加密处理