بسم الله الرحمن الرحيم ...
توجد الكثير من المخاطر تواجه مطوري بيئة الإنرتنت. و من أهم هذه المخاطر هي الـ Cross-site scripting أو ما يعرف بالـ XSS .
الـ XXS عموماً هي مشكلة في أمن الحاسبات، و توجد هذه المشكلة بشكل خاص في نطبيقات الويب. و التي تسمح بإدخال أكواد HTML و Client Side Code مثل الـ JS أو VBS داخل الفورم للقيام بعمليات لا يفترض بالفورم عملها.
لتقليل مخاطر الـ XSS في بيئة الدوت نت يمكن اضافة validateRequest مع القيمة true في ملف الـ Web.config أو الصفحة.
في الـدوت نت 2.0 و 1.1 القيمة الافتراضية هي : True أما في الدوت نت 1.0 القيمة الافتراضية هي false .
إذا احتاج برنامجك إدخال أكواد HTML أو JS يمكنك عمل Disable على مستوى الصفحة و هو الأفضل كما في الكود التالي:
كود PHP:
<%@ Page validateRequest="false" %>
كما يمكنك عمل disable للتطبيق ككل عن طريق إضافة الكود التالي في الـ Web.config .
كود PHP:
<configuration>
<system.web>
<pages validateRequest="false" />
</system.web>
</configuration>
و إن لم تعمل Disable للـ validateRequest و أدرت إدخال أكواد HTML أو JS سوف تحصل على الخطأ التالي:
كود PHP:
potentially dangerous Request.Form value was detected
كما يظهر في الصورة التالية:
بالطبع لا تنصح شركة مايكروسوفت بعمل Disable إلا إذا كنت تحتاج له و قم بعمل Disable على مستوى الصفحة فقط و ليس على مستوى التطبيق...
2008-11-13, 11:22 PM
كيف تقلل من خطورة الـ Cross-site scripting في الـ ASP.NET 
العرض العادي
