一、XSS攻击

跨域脚本攻击（Cross Site Scripting），恶意植入前端代码，比如HTML代码和客户端脚本，异常js获取用户cookie然后跳转到别的站点。

防护措施

标签转换（如“<”转换为“&lt;”  http://114.xixik.com/character/）

对于参数，可使用微软的HtmlSanitizationLibrary.dll库进行过滤掉html和js而不影响正常的数据

  string name = "<div>张三</div><script>alert(11)</script>";

         name = Sanitizer.GetSafeHtmlFragment(name);//name值变为张三

二、SQL注入

防护措施

对所有的sql语句和传入参数根据sql关键词和关键符号进行过滤替换。　

三、防止CSRF（跨网站请求伪造），只针对POST请求

　　Action前加入[ValidateAntiForgeryToken(Salt ="密钥")]

　　在Form表单中加入@Html.AntiForgeryToken("密钥");

四、Cookie窃取

　　对用户输入进行过滤，避免被截持Cookie，避免被绕过过滤

五、其他细节

　　1.CustomErrors Mode=“on",发布网站时必须为On，避免错误暴露
　　2.[nonaction]锁定不开放的Action
　　3.[AcceptVerbs(HttpVerbs.Post)]限定页面的访问形式

最新文章

1. linux Mysql 安装及配置
2. 一个linux的样本分析
3. 在WebAPI中自动创建Controller
4. HDU 5044 （树链剖分+树状数组+点/边改查）
5. InstallShield: Component-Feature Associations
6. MySQL 忘记密码后的重置操作
7. [原]OS X 10.9 Mavericks - Virtual Serial Port Issues
8. javaee 规范技术
9. htmlunit 导致高cup占用的坑
10. RGB颜色 对照表
11. [POI2012]STU-Well(二分答案+神仙操作）
12. java_18 Collection接口
13. topcoder srm 711 div1 -3
14. Elasticsearch查询Index以及删除
15. windows下MySQL的安装（非安装包）
16. vim 之cscope的使用
17. Spring Mvc:用MultiPartFile上传单个文件，多个文件
18. Python_05-文件操作
19. Redis数据库结构与读写原理
20. SQL语句01

热门文章

1. Url重写——伪静态实现
2. OpenCV安装与配置
3. freemarker种种
4. h5手机端下拉选择城市
5. 在非UI线程中自制Dispatcher
6. Xamarin.ios 调用接口
7. 【总结】.Net面试题集锦(一)
8. JMeter 分布式部署
9. jQuery文本框中的事件应用
10. 自制-随机生成不重复的数组 --算法，egret平台下的TS code