Arquivo

Posts Tagged ‘html injection’

Evitando Java Script Injection ou HTML injection ASP.NET MVC 3

11 - 11 2 comentários

Evitando cross-site script injection XSS utilizando Html Encoding:

Segue um exemplo:

Controller: Cliente

public string Buscar(string Nome)
{
string nomeBuscado = HttpUtility.HtmlEncode("Nome buscado: " + Nome);
return nomeBuscado;
}

Utilizando o método HttpUtility.HtmlEncode, evita que código do tipo: /Cliente/Buscar?Nome=<script>alert(‘Hacker’)</script> seja passado via parâmetro.

Observação: Por padrão, expressões na view engine Razor são automaticamente HTML encoded.

Ex:
@{
var mensagem = “<script>alert(‘hackeado’)</script>”;
}
<span>@mensagem</span>

resultado:
<span>&lt;script&gt;alert(‘hackeado’);&lt;script&gt;</span>

O Script não será executado.

para permitir a incorporação de texto com código/marcação na view, utilize o método:
<span>@Html.Raw(mensagem)</span>
Nesse caso o alert javascript será exibido.

Ao escrever dentro de código javascript, utilize uma segunda proteção contra XSS, um Encode específico para Javascript:

<script type=”text/javascript”>
$(function () {
var boasvindas = ‘Ola @Ajax.JavaScriptStringEncode(ViewBag.LoginUsuario)’;
$(“#mensagem”).html(boasvindas).show(‘slow’);
});
</script>
guiaecologico.wordpress.com/

Despertando a consciência que preserva!

Viagem e Voo

Dicas para viagens, férias e voos nacionais e internacionais

Ivan Guimarães Meirelles

Analista Desenvolvedor

Void Podcast

Vazio e sem retorno de valor

Elemar DEV

Negócios, tecnologia e desenvolvimento

2,000 Things You Should Know About WPF

Everything a WPF Developer Needs to Know, in Bite-Sized Chunks

Gabriel RB.net

Blog técnico, com dicas, códigos, novidades e problemas do dia-a-dia programando.

Alexandre Valente's Blog

Experiências em tecnologia e assuntos diversos

%d blogueiros gostam disto: