懶人式XSS攻擊攔截方式

懶人式XSS攻擊攔截方式

公司的網站最近常常受到來自192.162.19.195、192.162.19.196這兩個烏克蘭來的ip,對網站的留言版做xss攻擊

雖然網站是已經使用.net 4.0,已經有基本的防護,我也已經有將錯誤發生時直接寄一封mail給自己,只是還覺

得應該要再人性化一點,不要直接就只出現錯誤頁,想要讓錯誤發生時,出現個alert後再導回原頁。

因此參考了許多網路上的文章,在globa.asx中的Application_Error 事件中寫


  if ("System.Web.HttpRequestValidationException" == Server.GetLastError().GetType().ToString())
     Server.ClearError();
    
  Response.Write("<script>alert('文字盒中請勿輸入html tag!');window.history.back(1) ; </script>");

 

這樣就可以了

只是這個只限於網站中的文字盒中都確認不讓使用者輸入html tag,否則的話還是建議針對單頁去撰寫

page_error事件來攔截,當然還有許多更好的方式,我這邊之所以寫懶人式,就是一改就整個網站都通用的

方式,不是萬用於每個網站,特此說明。

另外我post的這兩個ip,也在google查到了許多的網站被這二個ip做xss攻的留言內容,嘖…