小猴工程師

從零開始學習 VB.NET 防範 XSS攻擊教學

小猴工程師-avatar-img
小猴工程師
發佈於DevOps 技術與自動化
更新 發佈閱讀 1 分鐘

什麼是 XSS 攻擊?

XSS(Cross-Site Scripting,跨站腳本攻擊)是一種常見的 Web 安全漏洞,攻擊者透過向網站輸入惡意 JavaScript 程式碼,使其在其他使用者的瀏覽器中執行。這可能導致惡意重導、竊取 Cookie、偽造請求等安全風險。

在 ASP.NET Web Forms 應用程式中,如果沒有適當處理使用者輸入,攻擊者可以透過 <script> 標籤插入惡意指令碼。

XSS 攻擊測試範例

假設我們有一個簡單的表單,讓使用者輸入姓名並顯示歡迎訊息。

ASP.NET Web Forms 頁面(Default.aspx)

<%@ Page Title="Home Page" Language="VB" MasterPageFile="~/Site.Master" AutoEventWireup="true" CodeBehind="Default.aspx.vb" Inherits="WebApplication1._Default" ValidateRequest="false" %>

<asp:Content ID="BodyContent" ContentPlaceHolderID="MainContent" runat="server">

    <main>
        <section class="row" aria-labelledby="aspnetTitle">
            <h1 id="aspnetTitle">ASP.NET</h1>
            <p class="lead">ASP.NET is a free web framework for building great Web sites and Web applications using HTML, CSS, and JavaScript.</p>
            <p><a href="http://www.asp.net" class="btn btn-primary btn-md">Learn more &raquo;</a></p>
        </section>

        <div class="row">
            <section class="col-md-4" aria-labelledby="gettingStartedTitle">
                <h2 id="gettingStartedTitle">Getting started</h2>
                <p>
                    ASP.NET Web Forms lets you build dynamic websites using a familiar drag-and-drop, event-driven model.
                A design surface and hundreds of controls and components let you rapidly build sophisticated, powerful UI-driven sites with data access.
                </p>
                <p>
                    <a class="btn btn-default" href="https://go.microsoft.com/fwlink/?LinkId=301948">Learn more &raquo;</a>
                </p>
            </section>
            <section class="col-md-4" aria-labelledby="librariesTitle">
                <h2 id="librariesTitle">Get more libraries</h2>
                <p>
                    NuGet is a free Visual Studio extension that makes it easy to add, remove, and update libraries and tools in Visual Studio projects.
                </p>
                <p>
                    <a class="btn btn-default" href="https://go.microsoft.com/fwlink/?LinkId=301949">Learn more &raquo;</a>
                </p>
            </section>
            <section class="col-md-4" aria-labelledby="hostingTitle">
                <h2 id="hostingTitle">Web Hosting</h2>
                <p>
                    You can easily find a web hosting company that offers the right mix of features and price for your applications.
                </p>
                <p>
                    <a class="btn btn-default" href="https://go.microsoft.com/fwlink/?LinkId=301950">Learn more &raquo;</a>
                </p>
            </section>
        </div>
        <div>
            <asp:Label ID="Label1" runat="server" Text="請輸入您的名字:" />
            <asp:TextBox ID="TextBox1" runat="server" AutoPostBack="True"></asp:TextBox>
            <asp:Button ID="Button1" runat="server" Text="送出" OnClick="Button1_Click" CssClass="btn btn-primary"/>
            <br /><br />
            <asp:Label ID="ResultLabel" runat="server" ForeColor="Blue" />
        </div>
    </main>
</asp:Content>

後端程式碼(Default.aspx.vb)

Protected Sub Button1_Click(ByVal sender As Object, ByVal e As EventArgs) Handles Button1.Click
    Dim userName As String = TextBox1.Text.Trim()

    If userName <> "" Then
        ResultLabel.Text = "Hello, " & userName & "!歡迎來到 ASP.NET Web Forms!"
    Else
        ResultLabel.Text = "請輸入您的名字!"
    End If
End Sub



模擬 XSS 測試

正常頁面如下

vocus|新世代的創作平台

如果用戶輸入以下內容:

<script>alert('XSS 測試成功!')</script>

這段腳本將會被執行,導致彈出提示框,這就代表網站存在 XSS 漏洞。

vocus|新世代的創作平台

如何防範 XSS 攻擊?

使用 Server.HtmlEncode() 來轉譯輸入

如果你的應用程式不需要 HTML 標籤,那麼最簡單的方法就是對所有輸入進行 HTML 編碼,防止 JavaScript 執行。

Protected Sub Button1_Click(ByVal sender As Object, ByVal e As EventArgs) Handles Button1.Click
    Dim userName As String = TextBox1.Text.Trim()

    If userName <> "" Then
        ResultLabel.Text = "Hello, " & Server.HtmlEncode(userName) & "!歡迎來到 ASP.NET Web Forms!"
    Else
        ResultLabel.Text = "請輸入您的名字!"
    End If
End Sub


這樣即使輸入 <script>alert('XSS')</script>,也只會顯示成純文字,而不會執行 JavaScript。

vocus|新世代的創作平台

結論

XSS(跨網站指令碼攻擊)是一種常見的 Web 安全漏洞,攻擊者可以利用未經過濾的輸入來注入惡意腳本,進而影響其他用戶的瀏覽體驗,甚至竊取敏感資訊,透過防護措施,我們可以有效降低 XSS 攻擊的風險,確保 ASP.NET 應用程式的安全性,提供用戶更可靠的使用體驗。

如果你有興趣進一步學習,請留言告訴我或留言與我分享~~~~

小猴工程師DevOps 技術與自動化
留言
avatar-img
小猴工程師
2會員
31內容數
以工程師視角拆解技術與生活的連結。專長 DevOps、AI 與區塊鏈,把艱深的技術轉化為易懂的故事。 文章主題橫跨技術筆記、實作教學與個人經驗分享。 寫作理念:讓每個想靠技術改變生活的人,都能在這裡找到啟發。
小猴工程師的其他內容
2025/04/15
Elasticdump JSON 轉繁體中文 CSV:Python + Pandas 教學與解決方案
這篇文章提供教學,如何使用 Python 和 Pandas 函式庫將 Elasticsearch 的 JSON 資料(透過 Elasticdump 匯出)轉換成 Excel 可讀取且支援繁體中文的 CSV 檔案,並解決常見的中文編碼問題。
2025/04/15
Elasticdump JSON 轉繁體中文 CSV:Python + Pandas 教學與解決方案
這篇文章提供教學,如何使用 Python 和 Pandas 函式庫將 Elasticsearch 的 JSON 資料(透過 Elasticdump 匯出)轉換成 Excel 可讀取且支援繁體中文的 CSV 檔案,並解決常見的中文編碼問題。
2025/03/25
一切從觀察開始:河內塔問題與演算法設計
演算法是解決問題的系統性流程,廣泛應用於各領域,如廚師的食譜、音樂家的樂譜和程式設計師的程式碼。河內塔問題是經典的遞迴演算法示例,透過觀察、數學建模與遞推關係,揭示演算法設計的核心思維。掌握這些技巧有助於拆解複雜問題並找到最佳解法。如果你對演算法有興趣,歡迎留言交流!
Thumbnail
2025/03/25
一切從觀察開始:河內塔問題與演算法設計
演算法是解決問題的系統性流程,廣泛應用於各領域,如廚師的食譜、音樂家的樂譜和程式設計師的程式碼。河內塔問題是經典的遞迴演算法示例,透過觀察、數學建模與遞推關係,揭示演算法設計的核心思維。掌握這些技巧有助於拆解複雜問題並找到最佳解法。如果你對演算法有興趣,歡迎留言交流!
Thumbnail
2025/03/21
從零開始學習 VB.NET 條件判斷
本文介紹 VB.NET 的 If...Else 和 Select Case 條件判斷結構,包含語法、範例及適用情境。If...Else 適合多變數與複雜邏輯,Select Case 則適用於單一變數的多值判斷,語法簡潔且效能較佳。文章並比較其效能、靈活性與可讀性,幫助選擇最佳控制結構。
Thumbnail
2025/03/21
從零開始學習 VB.NET 條件判斷
本文介紹 VB.NET 的 If...Else 和 Select Case 條件判斷結構,包含語法、範例及適用情境。If...Else 適合多變數與複雜邏輯,Select Case 則適用於單一變數的多值判斷,語法簡潔且效能較佳。文章並比較其效能、靈活性與可讀性,幫助選擇最佳控制結構。
Thumbnail
看更多
#方格新手 的其他內容
Thumbnail
方格新手村:讓 vocus 送你見面禮!
目前共 31283 篇
avatar-avatar
Mes études
在格子的縫隙裡,我「看見」了自己
avatar-avatar
方格子 vocus 官方沙龍
老格友看過來!給新朋友的一封信🫶
avatar-avatar
Chloe小窩
方格小窩再生記 § 沙龍圖片尺寸懶人包
你可能也想看
Thumbnail
avatar-avatar
詹育杰的沙龍
《轉轉生 Re:INCARNATION》:Qudus Onikeku、約魯巴哲學與 Afrobeat 的去殖民身體政治
《轉轉生》(Re:INCARNATION)為奈及利亞編舞家庫德斯.奧尼奎庫與 Q 舞團創作的當代舞蹈作品,結合拉各斯街頭節奏、Afrobeat/Afrobeats、以及約魯巴宇宙觀的非線性時間,建構出關於輪迴的「誕生—死亡—重生」儀式結構。本文將從約魯巴哲學概念出發,解析其去殖民的身體政治。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
Thumbnail
avatar-avatar
詹育杰的沙龍
《轉轉生 Re:INCARNATION》:Qudus Onikeku、約魯巴哲學與 Afrobeat 的去殖民身體政治
《轉轉生》(Re:INCARNATION)為奈及利亞編舞家庫德斯.奧尼奎庫與 Q 舞團創作的當代舞蹈作品,結合拉各斯街頭節奏、Afrobeat/Afrobeats、以及約魯巴宇宙觀的非線性時間,建構出關於輪迴的「誕生—死亡—重生」儀式結構。本文將從約魯巴哲學概念出發,解析其去殖民的身體政治。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
Thumbnail
avatar-avatar
小猴工程師
從零開始學習 VB.NET 防範 XSS攻擊教學
本文介紹XSS (跨站腳本攻擊) 的原理、ASP.NET Web Forms 應用程式中常見的漏洞、測試範例以及如何使用Server.HtmlEncode()函式來防止XSS攻擊。透過適當的輸入驗證和編碼,可以有效降低XSS攻擊風險,提升網站安全性。
#開發#方格新手#學習
Thumbnail
avatar-avatar
小猴工程師
從零開始學習 VB.NET 防範 XSS攻擊教學
本文介紹XSS (跨站腳本攻擊) 的原理、ASP.NET Web Forms 應用程式中常見的漏洞、測試範例以及如何使用Server.HtmlEncode()函式來防止XSS攻擊。透過適當的輸入驗證和編碼,可以有效降低XSS攻擊風險,提升網站安全性。
#開發#方格新手#學習
Thumbnail
avatar-avatar
是我啦,我好學啦
「幫我投票」新詐騙手法出現,取回被盜帳號、預防與加密方法
1. 如何分辨詐騙、避免被詐騙 2. 掃毒、增強帳號安全、多段驗證、安全金鑰 3.快速取回帳號
#臉書被盜取回#YT被盜取回#動信安全金鑰
Thumbnail
avatar-avatar
是我啦,我好學啦
「幫我投票」新詐騙手法出現,取回被盜帳號、預防與加密方法
1. 如何分辨詐騙、避免被詐騙 2. 掃毒、增強帳號安全、多段驗證、安全金鑰 3.快速取回帳號
#臉書被盜取回#YT被盜取回#動信安全金鑰
Thumbnail
avatar-avatar
左先生的沙龍
2024-01-12 假網站攻擊的更人性化手法
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。 有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編
#網站#信用卡#一次性
Thumbnail
avatar-avatar
左先生的沙龍
2024-01-12 假網站攻擊的更人性化手法
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。 有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編
#網站#信用卡#一次性
Thumbnail
avatar-avatar
《創作者事業研究室》沙龍
【駭入別人銷售漏斗,模仿驗證有效流程】
【駭入別人銷售漏斗,模仿驗證有效流程】
Thumbnail
avatar-avatar
《創作者事業研究室》沙龍
【駭入別人銷售漏斗,模仿驗證有效流程】
【駭入別人銷售漏斗,模仿驗證有效流程】
Thumbnail
avatar-avatar
創作者經濟 IMO
墨耘|加密貨幣詐騙真實案例分析,如何避免成為受害者?
我們分析了許多加密貨幣詐騙案例,歸納出一些共通的行為特徵要告訴你,讓你防患於未然;萬一日後自己或朋友遇到類似情境,就可以馬上辨識出這些警訊,避免成為加密貨幣詐騙的受害者。
#加密貨幣詐騙#加密貨幣#詐騙
Thumbnail
avatar-avatar
創作者經濟 IMO
墨耘|加密貨幣詐騙真實案例分析,如何避免成為受害者?
我們分析了許多加密貨幣詐騙案例,歸納出一些共通的行為特徵要告訴你,讓你防患於未然;萬一日後自己或朋友遇到類似情境,就可以馬上辨識出這些警訊,避免成為加密貨幣詐騙的受害者。
#加密貨幣詐騙#加密貨幣#詐騙
Thumbnail
avatar-avatar
釀電影,啜一口電影的美好。
性別之外,存在面前──淺談劇作《遊林驚夢:巧遇 Hagay》
這是一場修復文化與重建精神的儀式,觀眾不需要完全看懂《遊林驚夢:巧遇Hagay》,但你能感受心與土地團聚的渴望,也不急著在此處釐清或定義什麼,但你的在場感受,就是一條線索,關於如何找著自己的路徑、自己的聲音。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
Thumbnail
avatar-avatar
釀電影,啜一口電影的美好。
性別之外,存在面前──淺談劇作《遊林驚夢:巧遇 Hagay》
這是一場修復文化與重建精神的儀式,觀眾不需要完全看懂《遊林驚夢:巧遇Hagay》,但你能感受心與土地團聚的渴望,也不急著在此處釐清或定義什麼,但你的在場感受,就是一條線索,關於如何找著自己的路徑、自己的聲音。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
Thumbnail
avatar-avatar
Kant Chan的沙龍
WordPress 網站安全:8個關鍵措施保護您的網站
在數碼時代,網站安全變得越來越重要。特別是對於使用 WordPress 平臺的網站,保障安全尤為關鍵。本文將介紹一些實用的方法,幫助您保護 WordPress 網站免受各種威脅。為什麼 WordPress 安全至關重要?
#網站#文件#密碼
Thumbnail
avatar-avatar
Kant Chan的沙龍
WordPress 網站安全:8個關鍵措施保護您的網站
在數碼時代,網站安全變得越來越重要。特別是對於使用 WordPress 平臺的網站,保障安全尤為關鍵。本文將介紹一些實用的方法,幫助您保護 WordPress 網站免受各種威脅。為什麼 WordPress 安全至關重要?
#網站#文件#密碼
Thumbnail
avatar-avatar
網路安全停看聽-安啦的沙龍
【網路安全停看聽】打造密不可破的資安防護網,企業不能缺席
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。
#電信業者#資訊安全#詐騙電話
Thumbnail
avatar-avatar
網路安全停看聽-安啦的沙龍
【網路安全停看聽】打造密不可破的資安防護網,企業不能缺席
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。
#電信業者#資訊安全#詐騙電話
Thumbnail
avatar-avatar
月染墨江的情事花園
抓到盜文是從哪裡流出了
  自從之前發現被對岸網站盜文,就決定在文章中間或末端加上一些文字聲明。由於我連載的平台有好幾個,所以花了一些時間,把每一個平台的每一篇文全都加上聲明,想藉此查看盜文都是從哪個連載平台盜的﹙雖然本來我心裡就有底了,但總要有證據嘛﹚。   而且,因為怕盜文時設有自動屏蔽、替換功能,我還特地將文字聲明
#小說#盜文#原創
Thumbnail
avatar-avatar
月染墨江的情事花園
抓到盜文是從哪裡流出了
  自從之前發現被對岸網站盜文,就決定在文章中間或末端加上一些文字聲明。由於我連載的平台有好幾個,所以花了一些時間,把每一個平台的每一篇文全都加上聲明,想藉此查看盜文都是從哪個連載平台盜的﹙雖然本來我心裡就有底了,但總要有證據嘛﹚。   而且,因為怕盜文時設有自動屏蔽、替換功能,我還特地將文字聲明
#小說#盜文#原創
Thumbnail
avatar-avatar
小P趨勢投資
算力的盡頭是電力!009819 小P量化交易者眼中的AI基建雙引擎致勝邏輯
背景:從冷門配角到市場主線,算力與電力被重新定價   小P從2008進入股市,每一個時期的投資亮點都不同,記得2009蘋果手機剛上市,當時蘋果只要在媒體上提到哪一間供應鏈,隔天股價就有驚人的表現,當時光學鏡頭非常熱門,因為手機第一次搭上鏡頭可以拍照,也造就傳統相機廠的殞落,如今手機已經全面普及,題
#AI#算力#電力
Thumbnail
avatar-avatar
小P趨勢投資
算力的盡頭是電力!009819 小P量化交易者眼中的AI基建雙引擎致勝邏輯
背景:從冷門配角到市場主線,算力與電力被重新定價   小P從2008進入股市,每一個時期的投資亮點都不同,記得2009蘋果手機剛上市,當時蘋果只要在媒體上提到哪一間供應鏈,隔天股價就有驚人的表現,當時光學鏡頭非常熱門,因為手機第一次搭上鏡頭可以拍照,也造就傳統相機廠的殞落,如今手機已經全面普及,題
#AI#算力#電力
Thumbnail
avatar-avatar
陳沅綦的沙龍
柏林劇團《三便士歌劇》:巴里.柯斯基的經典再造,與布萊希特劇場的當代轉向
本文分析導演巴里・柯斯基(Barrie Kosky)如何運用極簡的舞臺配置,將布萊希特(Bertolt Brecht)的「疏離效果」轉化為視覺奇觀與黑色幽默,探討《三便士歌劇》在當代劇場中的新詮釋,並藉由舞臺、燈光、服裝、音樂等多方面,分析該作如何在保留批判核心的同時,觸及觀眾的觀看位置與人性幽微。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
Thumbnail
avatar-avatar
陳沅綦的沙龍
柏林劇團《三便士歌劇》:巴里.柯斯基的經典再造,與布萊希特劇場的當代轉向
本文分析導演巴里・柯斯基(Barrie Kosky)如何運用極簡的舞臺配置,將布萊希特(Bertolt Brecht)的「疏離效果」轉化為視覺奇觀與黑色幽默,探討《三便士歌劇》在當代劇場中的新詮釋,並藉由舞臺、燈光、服裝、音樂等多方面,分析該作如何在保留批判核心的同時,觸及觀眾的觀看位置與人性幽微。
#2026北藝嚴選#北藝嚴選#臺北表演藝術中心
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News