차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판 | ||
guide:asp.net_개발_보안_가이드 [2013/11/25 02:56] – 121.140.124.172 | guide:asp.net_개발_보안_가이드 [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1 | ||
---|---|---|---|
줄 191: | 줄 191: | ||
2. 페이지를 실행함. 그럴 경우 스크립트 때문에 메시지 상자에 txtString를 지나 브라우저에서 클라이언트 측 스크립트로 렌더링됨. | 2. 페이지를 실행함. 그럴 경우 스크립트 때문에 메시지 상자에 txtString를 지나 브라우저에서 클라이언트 측 스크립트로 렌더링됨. | ||
\\ | \\ | ||
- | 3. 설정값이 ValidateRequest = " | + | 3. 설정값이 ValidateRequest = " |
A potentially dangerous Request.Form value was detected from the client (txtString="< | A potentially dangerous Request.Form value was detected from the client (txtString="< | ||
줄 200: | 줄 200: | ||
<% = | <% = | ||
=== HTML 출력은 입력 매개 변수를 포함 여부 확인 === | === HTML 출력은 입력 매개 변수를 포함 여부 확인 === | ||
- | 출력은 입력 매개 변수가 포함되어 있는지 여부를 확인하는 당신의 | + | 출력은 입력 매개 변수가 포함되어 있는지 여부를 확인하고 디자인 및 당신의 페이지 코드를 분석함. 이러한 매개 변수는 다양한 소스로부터 올 수 있음. |
+ | \\ | ||
+ | |||
+ | 예)일반적인 입력 소스 | ||
* Form 필드 | * Form 필드 | ||
줄 229: | 줄 232: | ||
=== 잠재적으로 위험한 HTML 태그와 속성 검토 === | === 잠재적으로 위험한 HTML 태그와 속성 검토 === | ||
- | 당신이 | + | 동적으로 HTML 태그를 생성하고 잠재적으로 안전하지 않은 입력으로 태그 속성을 구성하는 경우, |
예) aspx 페이지에서는 < | 예) aspx 페이지에서는 < | ||
<%@ Page Language=" | <%@ Page Language=" | ||
줄 257: | 줄 260: | ||
가. 잠재적으로 위험한 HTML 태그 | 가. 잠재적으로 위험한 HTML 태그 | ||
- | 다음과 같은 일반적으로 사용되는 HTML 태그 악의적 인 사용자가 스크립트 코드를 삽입 할 수 있습니다 : | + | \\ |
+ | 예)악의적인 사용자가 스크립트 코드를 삽입 할 수 있는 일반적으로 사용되는 HTML 태그 | ||
* < | * < | ||
* < | * < | ||
줄 286: | 줄 290: | ||
</ | </ | ||
=== 대책 평가 === | === 대책 평가 === | ||
- | 몇 가지 입력을 사용하여 HTML을 생성하는 ASP.NET 코드를 찾을 때, 당신은 | + | 몇 가지 입력을 사용하여 HTML을 생성하는 ASP.NET 코드를 찾을 때, 특정 응용 프로그램에 대한 적절한 대책을 평가 |
\\ | \\ | ||
가. HTML 출력을 인코딩 | 가. HTML 출력을 인코딩 | ||
\\ | \\ | ||
- | 당신이 | + | 웹 페이지에 텍스트 출력을 작성하고 텍스트를 HTML 특수 문자 (예 : <,>, |
\\ | \\ | ||
예) 텍스트 사용자 입력, 데이터베이스 또는 로컬 파일에서 온 경우이 작업을 수행 | 예) 텍스트 사용자 입력, 데이터베이스 또는 로컬 파일에서 온 경우이 작업을 수행 | ||
줄 305: | 줄 309: | ||
다. 필터 사용자 입력 | 다. 필터 사용자 입력 | ||
\\ | \\ | ||
- | 텍스트 입력 필드의 어떤 종류를 예를 들어 HTML 요소의 범위를 수락해야 페이지가 있다면, | + | 텍스트 입력 필드의 어떤 종류를 예를 들어 HTML 요소의 범위를 수락해야 페이지가 있다면, 페이지에 대해 ASP.NET 유효성 검사를 |
\\ | \\ | ||
* 안전 제한된 HTML 입력 | * 안전 제한된 HTML 입력 | ||
- | - ASP.NET | + | - ASP.NET 유효성 검사를 |
- 문자열 입력 인코딩 HtmlEncode 방법. | - 문자열 입력 인코딩 HtmlEncode 방법. | ||
- | - 사용 StringBuilder를을 하고 전화를 | + | - 사용되는 |