Abbiamo un'applicazione web .NET 4 con alcuni campi nascosti. Quando il sito è stato testato per le vulnerabilità XSS, questi campi nascosti sono stati le prime vittime. Come possiamo proteggere e salvaguardare i nostri campi nascosti? Per le normali caselle di testo e altri campi, utilizziamo la convalida lato server. Ma come controlliamo i campi nascosti per evitare problemi XSS?
I campi nascosti sono solo una convenzione lato client. Sul lato server si vedono solo stringhe di dati. Le protezioni XSS non devono variare se si tratta di un campo nascosto, di un menu a discesa o di qualsiasi altro campo di input. Ricorda, è possibile inviare semplicemente traffico HTTP non elaborato al tuo server, un browser Web semplifica il lavoro.
Quando i dati vengono recuperati dal lato server nelle variabili GET o POST, verranno trattati allo stesso modo. Quindi ogni campo deve essere controllato, in altre parole, tutti gli input forniti dall'utente devono essere convalidati. Consulta le indicazioni generali OWASP e . NET Security Guidance .
A seconda della specifica configurazione su .NET, avrai bisogno di un validatore personalizzato come un'unica tecnica.
Puoi proteggere la tua app Web .Net utilizzando Codifica HTML e Javascript del rasoio Oltre a questo c'è una libreria piuttosto interessante: Libreria .NET AntiXSS which is :
an encoding library which uses a safe list approach to encoding. It provides Html, XML, Url, Form, LDAP, CSS, JScript and VBScript encoding methods to allow you to avoid Cross Site Scripting attacks. This library is part of the Microsoft SDL tools.