tag:blogger.com,1999:blog-73336164497660362832011-04-21T14:46:56.527-07:00webKornienko Dmitryhttp://www.blogger.com/profile/05042804552278190056noreply@blogger.comBlogger21100tag:blogger.com,1999:blog-7333616449766036283.post-277202777697279492008-05-08T07:41:00.000-07:002008-05-08T08:20:59.110-07:00ASP.NET. Валидация и XSS-уязвимостиДля начала немного о том что такое XSS-уязвимости. Это уязвимость на сервере, позволяющая внедрить в генерируемую страницу на сервере нежелательные скрипты (назовем их так). <br /><br />Для ASP.NET нужно обязательно проверять данные которые отправляет ваша форма.<br />Делать это можно так:<br /><br />У директивы Page есть булевое свойство "ValidateRequest", <br />которое проверяет все данные переданные вашей формой. <br /> Вот как быть, если по каким-то причинам вам понадобится отключить проверку всей формы:<br /><br />Например у вас есть форма, на ней текстовое поле TextBox1. Чтобы проверить его, достаточно получать данные так:<br /><br />Server.<span><span><span>HtmlEncode</span></span></span>(TextBox1.Text);<br /><br /> или<br /><br />HttpUtility.<span><span><span>HtmlEncode</span></span></span>(TextBox1.Text);<br /><br />Тем самым вы проверяете данные на XSS уязвимость. Если же в данных найдены запрещенные сиволы, они будут заменены. Например <script> бедет заменен на &lt;script&gt;.<br /><br />Рекомендую всегда проверять то что "уходит" на сервер, чтобы предотвратить XSS!<br /><br /><br /> <div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7333616449766036283-27720277769727949?l=blog-dejavu.blogspot.com' alt='' /></div>Kornienko Dmitryhttp://www.blogger.com/profile/05042804552278190056noreply@blogger.com1tag:blogger.com,1999:blog-7333616449766036283.post-65196305629520202622008-05-03T07:47:00.000-07:002008-05-03T08:42:38.100-07:00Условные комментарии IEТот кто в жизни создавал кроссбраузерную верстку, сталкивался, когда один из браузеров показывает не так как хотелось бы... Вот как обойти это для Internet Explorer.<br /><br />Существуют так называемые «условные комментарии» для Internet Explorer. Выглядят они как обычные комментарии, но с добавлением некоторых команд. Приведу пример. Скажем нам нужно вывести заголовок H1 только в Internet Explorer 6-ой версии. Выглядеть это будет так:<br /><br /><!--[if IE 6]><br /> <h1>Заголовок виден только в 6-ой версии IE</h1><br /><![endif]><br /><br />Также возможно использовать операторы. Вот список возможных операторов:<br /><br /> ! - отрицание<br /> lt - меньше чем<br /> lte - меньше или равно<br /> gt - больше чем<br /> gte - больше или равно<br /><br />Пример. Вставить CSS стили в том случае если версия IE миньше или равна Internet Explorer 6<br /><br /><!--[if lte IE 6]><br /> <link href="ie.css" rel="stylesheet" type="text/css" /><br /><![endif]><br /><br />Надеюсь, «условный комментарий» <!--[if IE 8]> писать не придется никогда :)<div class="blogger-post-footer"><img width='1' height='1' src='https://blogger.googleusercontent.com/tracker/7333616449766036283-6519630562952020262?l=blog-dejavu.blogspot.com' alt='' /></div>Kornienko Dmitryhttp://www.blogger.com/profile/05042804552278190056noreply@blogger.com1