设为主页
收藏本站
当前位置: >
首页
->
编程语言
->
ASP.NET
->
WEB开发之ASP.NET 验证控件安全隐患技术
相关分类:
ASP
ViualBasic
UML / Rational Rose
PHP4/PHP5
Perl
JAVA/JSP教程
Delphi
ColdFusion
CGI
C/C++
ASP.NET
XML
站内搜索:
智能模糊搜索
仅搜索标题
C#编写的windows计算器-源代码
(06-04)
C# 操作文件
(06-04)
c#操作word表格
(06-04)
使用C#在进度条中显示复制文件的进度
(06-04)
C# GridView 排序及分页
(06-04)
用C#实现FTP搜索引擎
(06-04)
对C# 2.0中匿名方法的怀疑分析
(06-04)
在C#中利用DirectX实现声音播放
(06-04)
使用C#在进度条中显示复制文件的进度
(06-04)
C#中利用Markup Service实现HTML解析
(06-04)
WEB开发之ASP.NET 验证控件安全隐患技术
作者:
Webmaster
来源:
Linuxdby.com
点击:
日期:
2007-04-12 [
收藏
] [
投稿
]
IE是否经常中毒?推荐您
ASp.net 的全部客户端验证控制都是放在一个:
%SystemDrive%\Inetpub\wwwroot\aspnet_client\system_web\1_1_4322
目录下的叫 WebUIValidation.js 的js 里最后的 11_1_4322目录是版本号不同的 .NET 环境这个也不同.
IE 下载文件的机制是 , 如果服务器文件没有改变就不会重新下载,也就是说如果在缓存通过某种方法修改文件而且大小没有改变的话就可以破解开 js 文件的客户端限制,应为asp.NET 的这个 WebUIValidation.js 是不会经常更新的(根本就不更新)
1、到你的 ie 缓存目录 [Internet属性\常规\设置按钮] 可以看到
2、把里面的一个叫 Content.IE5 的目录下的全部目录清除
3、访问你要测试的aspx页(上面一定要有验证控件的那种)
4、看到网页后好了 可以在 Content.IE5 搜索 WebUIValidation[1].js(一般都叫这个名字)
5、拿什么打开都行、找 function ValidatorCommonOnSubmit() 函数
改
event.returnValue = !Page_BlockSubmit;
成
event.returnValue = true;;;;;;;;;;;;;;
大小不变就行 (-:
6、保存在打开刚才那个测试页,点一下提交。
呵呵验证的文本已经出来了但是仍然提交到了服务器看 ie 下面的进度条就会看出来,你花了半天写的“正则表达式”在短短几十秒就 over 了,哭吧。如果你在服务端没有验证的化就很容易把非法数据保存到服务器。
个人以为 ms 的验证控件,就是为了验证用户数据节省用户的时间(MS 也没说这东西
安全
是吧)但却很容易给初学者一个
安全
的假想、因为现在有很多用 asp.net 的朋友根部一点不懂 js 确切的说还有可能不懂html.
呵呵这也许就是 Microsoft Visual Studio .NET 强大的功能带来的负面影响吧。
本隐患对老鸟是不会有什么的,反正我个人是不相信 js 脚本验证数据的(包括你自己写的),在客户端验证本来也不可能
安全
无论怎么样也要在服务端验证一下。也多写不了多少代码。
测试环境 :Win2000, Microsoft ? .NET Framework 1.1 版
如果您对本文有任何疑问或者建议,请到讨论区发表您的意见:
>> 论坛入口 <<
上一篇:
小技巧:基于ASP.NET的网页复用方法
下一篇:
ASP.NET中数据库数据导入Excel并打印
【
文章评论
】 【
收藏本文
】 【
推荐好友
】 【
打印本文
】 【
我要投稿
】 【
论坛讨论
】
相关文章:
·
用C#实现FTP搜索引擎
·
对C# 2.0中匿名方法的怀疑分析
·
在C#中利用DirectX实现声音播放
·
使用C#在进度条中显示复制文件的进度
·
C#中利用Markup Service实现HTML解析为DO
·
c#操作word表格
·
C#代码操作IIS之虚拟目录
·
如何使用C#在发送往client的内容上加js代
·
[C#]解决读写包含汉字的txt文件时乱码的
·
C#实现根据域名查询ip实例
文章评论:
(1条)
请留名:
匿名评论
点击查看所有评论
论坛讨论
声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。
设为主页
收藏本站
相关文章: