ASP.NET 4.0 MVC Yenilik - Html.Encode()

Doğuhan Aydeniz tarafından yayınlanmıştır 18. Mart 2010 19:36

ASP.NET 4.0'da MVC'ye gelen yeni bir özellikten bahsedeceğim.

Ama önce XSS'in ne olduğunu ve bu saldırıların nelere sebep olabileceğini bilmiyorsanız XSS Nedir? adlı makalemi okumalısınız.

DOĞRU ama ESKİ YÖNTEM
Eski MVC sürümlerinde XSS ataklarını önleyebilmemiz için

<%= Html.Encode("<script>alert('Merhaba XSS')</script>")%>

DOĞRU ve YENİ YÖNTEM
Asp.Net 4.0 ile gelen yeni özellik = yerine : işareti kullanıyoruz. Encode ederek yaz anlamında.

<%: "<script>alert('Merhaba XSS')</script>" %>

İki türlü de XSS atağını önledik peki ya bunu aşağıdaki gibi direk Response.Write ile yazsaydık neler olurdu?

YANLIŞ YÖNTEM

<%= "<script>alert('Merhaba XSS')</script>"%>

Gördüğünüz gibi XSS atağını şuan yemiş bulunmaktayız :)

İyi çalışmalar.

12 kişi tarafından 4.8 olarak değerlendirildi

Currently 4,833333/5 Stars.
1
2
3
4
5

Etiketler: mvc, html.encode, xss attack, xss saldırı önleme, mvc yenilik, asp.net 4.0 yenilik, mvc xss, <%:, xss önleme

ASP.Net | MVC Framework

İlişkili yazılar

ASP.NET MVC 2 RTM Yayınlandı Evet arkadaşlar ASP.NET ekibinden bugün aldığımız habere göre MVC 2 RTM sür&uu...ASP.NET MVC - ViewData Nedir? Merhaba arkadaşlar, MVC framework ile uğraşıyorsanız illa ki karşınıza çıkac...C# 4.0 ile Gelen YeniliklerAşağıdaki linkte C# 4.0 ile gelen yenilikleri anlatan PDF dosyası bulunmaktadır.

Bu site BlogEngine.NET 1.4.5.0 ile oluşturulmuştur. Türkçe çevirisi BlogEngine TR ekibi tarafından yapılmıştır.

Doğuhan Aydeniz

Hayatta en hakiki mürşit ilimdir

ASP.NET 4.0 MVC Yenilik - Html.Encode()

İlişkili yazılar

Bilgi

Sayfalar

Son Yazılar

Month List

Linkler

Doğuhan Aydeniz

Hayatta en hakiki mürşit ilimdir

ASP.NET 4.0 MVC Yenilik - Html.Encode()

İlişkili yazılar

Bilgi

Sayfalar

Kategoriler

Son Yazılar

Month List

Etiket Bulutu

BlogRoll

Linkler