4、web开发原则

最新推荐文章于 2025-08-10 21:48:21 发布
最新推荐文章于 2025-08-10 21:48:21 发布
阅读量105 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: c# 文章标签: c# java javascript ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/onway417/article/details/84710532
本文介绍了网页安全的基本原则,包括用户权限最小化、浏览器端处理、客户端验证与服务器验证结合等。并通过实例展示了如何防范XSS跨站脚本攻击,特别强调了在不同浏览器中的表现差异。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、用户权限最小原则:只允许用户做什么。
2、用户不能查看源码(java/c#)。
3、尽量在浏览器端处理(js)
4、客服端验证不能代替服务器验证([color=red]浏览器禁用js、伪造http请求[/color])
5、私密信息不要写在js/html中
6、xss跨站脚本漏洞 cross-site script
说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidationMode="2.0"。示例: <httpRuntime requestValidationMode="2.0" />。设置此值后,可通过在 Page 指令或 <pages> 配置节中设置 validateRequest="false" 禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。有关更多信息,请参见 http://go.microsoft.com/fwlink/?LinkId=153133。

HttpRuntime的Web.config里的配置
没有就添加一个:
<system.web>
<httpRuntime requestValidationMode="2.0" />

<%@ Page Language="C#" [color=cyan]validateRequest="false"[/color] AutoEventWireup="true" CodeBehind="jojoo.aspx.cs" Inherits="jojo.jojoo" %>


http://localhost:12831/jojoo.aspx?msg=++%3Cform+id%3d+%22dd%22+action%3d%22http%3a%2f%2fwww.baidu.com%22+%3E%3Cinput+
type%3d%22text%22+value%3d%22222%22+%2f%3E%3Cinput+type%3d%22submit%22+%2f%3E%3C%2fform%3E

protected void Page_Load(object sender, EventArgs e)
{
Label1.Text = Request.Params["msg"];
}

<asp:Label ID="Label1" runat="server" Text="Label"></asp:Label>

<form id= "dd" action="http://www.baidu.com" ><input type="text" value="222" /><input type="submit" /></form>
<script type="text/javascript">alert(0);</script>

firefox可行,google chrome不行;
转义: Label1.Text = HttpUtility.HtmlEncode(Request.Params["msg"]);
WEB开发技术 知识点总结
27Up的博客
05-11 1万+
WEB开发技术 知识点总结第一章:(填空判断)1、什么是WWWWWW是World Wide Web的缩写,中文译名“万维网”。Web是Internet提供的一种服务,是基于Internet、采用Internet协议的一种体系结构。2、Web三要素:统一资源定位(URL):解决网上资源在何处的问题。资源访问方式(HTTP):解决用什么方法访问资源的问题。超链接:提供在资源之间自由访问的手段。3、什么...
基于Python的Web开发
热门推荐
跑得动就不要歇着
02-26 2万+
下面来介绍一下基于Python语言的Web开发中几种常见的Web开发框架; 1、Python语言是第四代程序设计语言,是解释性的、交互性的和面向对象的。它在Web应用和非Web应用中都发挥了重要的作用。比如Google的核心代码是用Python语言写的,国内著名的豆瓣网也使用Python技术。Python是脚本语言,开发代码效率高,使用第三方标准库,可以用简洁易读的代码描述强大功能。 Pyth...
web开发后端分层原则
变化程序员的专栏
11-21 3316
第一层 controller层 侧重拆分 定义: 直面用户操作 作用: 1、用户权限校验 2、数据预校验和预处理 3、数据预校验后的用户提示 4、对下一层处理结果的判断处理以及合适的用户提示(此处比较难以掌控,但基本原则就是根据页面的精细化交互去进一步细分下一层的处理结果) 开发原则: 1、根据不同用户的不同操作进行拆分。 2、时刻摒除垃圾代码 3、适时合并相关的用户操作 第二层 service层...
PHP:强大的Web开发语言
大厂全栈码农
09-16 4577
PHP(PHP: Hypertext Preprocessor)即 “超文本预处理器”,是一种通用开源脚本语言,最初由 Rasmus Lerdorf 于 1994 年创建。它可以在服务器上执行,并且能够与众多流行数据库集成,包括 MySQL、PostgreSQL、Oracle 等。PHP 脚本在服务器上执行后,结果以纯 HTML 格式发送到 Web 浏览器,广泛应用于动态网页开发。Laravel 是一套简洁、优雅的 PHP Web 开发框架。优雅简洁的语法。
javaWEB安全开发基本原则
复利人生的博客
01-14 1万+
javaWEB安全开发基本原则 最小化设计 用户输入最小化,尽可能少地使用用户的输入 用户输入范围最小化,过滤参数时尽量使用白名单策略 用户权限最小化,只对用户进行所需的最少授权 输出数据字段最小化,限制数据输出并且不输出业务无关的数据 所有(客户端)输入都不可信 通信协议中从客户端传来的一切数据 从数据库/文件/网络等,一些不直接来源于用户,但又不是程序中定义好的常量数据 安全编...
web应用开发流程
w20220310157的博客
12-22 2016
Web开发是指构建、编写和维护网站或Web应用程序的过程。它包括创建静态网页动态网页以及交互式Web应用程序。从上面来看,Web应用开发的全流程包括需求分析和规划、原型设计和交互设计、技术架构设计和数据库设计、前端开发、后端开发、数据库开发、测试、发布和部署以及运营和维护。这些阶段都需要进行详细的规划和设计,以确保Web应用程序能够顺利开发和运营。
Web开发
图灵教育
07-08 3492
1、CSS揭秘作者:Lea Verou 译者:CSS魔法★ 豆瓣评分8.1分 ★ CSS一姐Lea Verou作品,CSS魔法执笔翻译 ★ Eric Meyer、Jeremy Keith等前端大佬推荐《CSS揭秘》注重实践,揭示了47个鲜为人知的CSS技巧,主要内容包括背景与边框、形状、视觉效果、字体排印、用户体验、结构与布局、过渡与动画等。“如果你想深入探寻CSS的美妙之处、创意之处与智慧之
Web应用开发技术笔记
weixin_45871130的博客
02-21 3144
Web应用开发技术笔记第一章1.1 WEB技术概述Web的三要素静态网页动态网页(Applet)动态网页动态Web的发展静态网页动态网页的比较1.2 Web应用程序的工作原理C/S结构优缺点对比B/S结构优缺点对比Web应用程序的开发1.3 动态Web技术PHPASP/ASP.NETJSP1.4 JAVA Web开发的方式与体系结构JSP的工作原理JAVA开发Web程序几种方式 第一章 1.1 WEB技术概述 Web的三要素 展示资源:超文本技术(HTML) 资源地址:统一资源定位技术(URL) 获取资源
web开发知识点大总结
少说,多做。
09-16 3125
web开发必备
Web开发技术课程设计
Kingrrr的博客行程
12-21 3759
Web开发技术——课程设计
ASP.NET笔记之Session、http、web开发原则、xss漏洞的详细介绍
10-27
在本文中,我们将深入探讨ASP.NET开发中的几个关键概念,包括Session管理、HTTP协议、Web开发原则以及XSS(跨站脚本)漏洞。这些知识点对于理解和构建安全、高效的Web应用程序至关重要。 首先,我们来讨论Session。...
web开发必须注意的9大原则
04-26
安全开发需要注意的9大原则,为了系统的安全,我们在开发过程中必须注意系统的安全开发原则,减小开发出来的系统被攻击的风险。9大安全原则分别是1web部署原则、身份认证原则、会话管理原则、权限管理原则、敏感数据...
Web应用开发的七大原则
03-03
针对富Web应用,开发者应该注意哪些要点?...网络上有关Web开发未来的热门讨论有很多,比如:JavaScript能否替代实现诸如历史记录、网页浏览、页面渲染等浏览器功能?开发者应该放弃后端,直接进行HTML渲染吗?单页面应
python Django的web开发实例(入门)
09-18
Python Django的Web开发实例(入门)涵盖了使用Python语言和Django框架进行Web应用开发的初级知识。Django是一个高级的Python Web框架,它鼓励快速开发和干净、实用的设计。Django遵守“约定优于配置”的原则,这一...
秋招笔记-8.6
lastXuanGod的博客
08-06 1821
昨天开组会投文章以及玩苏丹的游戏去了,今天得知不久后有面试,所以我们需要快速地过一下基本的八股和项目。
Word XML 批注范围克隆处理器
最新发布
huluang的专栏
08-10 164
摘要:该WordCommentRangeCloner类专为处理Word文档XML结构中的批注标记文本范围设计,实现深度克隆批注内容块并插入目标位置。核心功能包括:1) 维护文档节点线性索引列表;2) 支持批注块的命名引用和多实例管理;3) 实现节点树的深度克隆与索引重建;4) 保持克隆内容与原始批注的元数据一致性。通过insertAfter方法将克隆内容插入目标节点后,适用于.docx文件的批注内容复制和修改场景。
C# 异步编程(使用异步Lambda表达式)
钢铁男儿
08-09 837
到目前为止,本章只介绍了异步方法。但我们曾经说过,你还可以使用异步匿名方法和异步Lambda表达式。这些构造尤其适合那些只有少量工作要做的事件处理程序。下面的代码片段将一个表达式注册为一个按钮点击事件的事件处理程序。XAML文件中的标记如下:</图21-13展示了这段程序生成的窗体的三种状态。
The Missing Check Logs: An Asynchronous Logging Trap in a C# HIS Project
十步杀一人-千里不留行
08-07 607
【代码】The Missing Check Logs: An Asynchronous Logging Trap in a C# HIS Project。
c#属性(Property)的概念定义及使用详解
2510_91653061的博客
08-10 313
C#编程中,属性(Property)是类、结构和接口的成员,提供了一种机制来读取、写入或计算一个类的私有字段的值。属性可以看作是字段和方法的结合,通过使用属性,可以控制对类成员的访问,使代码更加清晰、简洁且易于维护。属性是C#编程中的重要概念,提供了对字段的安全访问方式。通过属性,开发者可以更好地封装数据、控制访问权限和实现数据验证,从而提升代码的可读性和维护性。熟练掌握属性的使用对于编写高质量的C#程序至关重要。
Web前端开发规范与指南
"Web前端开发规范手册" Web前端开发规范手册是一份旨在提高团队协作效率和代码质量的指导文档,特别关注文件命名、CSS和JavaScript的书写规则。这份手册强调了规范化的重要性,确保所有前端开发者遵循统一的标准,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值