1.不要相信Request.QueryString:

相信在ASP時(shí)代，這個(gè)問題比較嚴(yán)重，不信，隨便到網(wǎng)絡(luò)上找?guī)讉€(gè)ASP的企業(yè)站，找到這種url"view.ASP?id=xxx",改成"view.ASP?id=xxx or 1=1",相信你會(huì)看到不一樣的東西，到了.NET，應(yīng)該很少了，不過上次看到有人說CSDN爆過哦，簡(jiǎn)單的解決方法是在取得數(shù)據(jù)時(shí)做數(shù)據(jù)類型驗(yàn)證或轉(zhuǎn)換。比如:
int ViewID = 0;
if(int.TryParse(Request.QueryString["ID"], out ViewID)){
 //...
}

2.不要相信maxlength:

有時(shí)候我們想客戶端輸入的某個(gè)值不超過一定的長(zhǎng)度，這個(gè)時(shí)候可能就會(huì)用到input的maxlength，但maxlength能100%保證這個(gè)值的長(zhǎng)度不超過maxlength嗎？請(qǐng)點(diǎn)擊鏈接看看例子。

顯然，maxlength是不可信的，簡(jiǎn)單的解決辦法是后臺(tái)代碼驗(yàn)證數(shù)據(jù)長(zhǎng)度：
string UserName = Request.QueryString["UserName"];
if(!string.IsNullOrEmpty(UserName)&&UserName.length > x){
 //...提示錯(cuò)誤或截?cái)鄶?shù)據(jù)
}

3.不要相信Hidden:

有時(shí)候我們想把些信息保存到前臺(tái)頁(yè)面，然后再發(fā)送回來，但是我們又不想讓客戶看到這個(gè)信息，于是，我們把數(shù)據(jù)放到了hidden里面，那客戶提交數(shù)據(jù)時(shí)，hidden里的內(nèi)容真的是我們放的內(nèi)容嗎？請(qǐng)點(diǎn)擊鏈接看看例子。

這個(gè)我一時(shí)也沒想到好的驗(yàn)證方法，暫時(shí)也沒有特殊的需求說必須驗(yàn)證。

4.不要相信客戶端驗(yàn)證:

比如2和3中的問題，可能有的朋友覺得，我客戶端再加個(gè)驗(yàn)證不就OK了嗎？可是，往往，客戶端驗(yàn)證也是不安全的，首先，如果客戶端禁用腳本，那客戶端驗(yàn)證是完全失效的，另外，在腳本有效的情況下，腳本驗(yàn)證也是可以被篡改的。請(qǐng)點(diǎn)擊鏈接看看例子。

以前QQ空間里可以通過這個(gè)方法免費(fèi)使用黃鉆模板，不知道現(xiàn)在還有沒有。這個(gè)就沒有什么好的解決辦法，只能后臺(tái)再驗(yàn)證一次。

5.不要相信編輯器:

有的時(shí)候，可能項(xiàng)目中要用到一些簡(jiǎn)單的編輯器，于是，我們就找到了一些編輯器，把不需要的功能(比如：編輯源碼、插入圖片等)剔除掉，就成了個(gè)簡(jiǎn)單的編輯器，那這樣的編輯器還會(huì)有什么問題嗎？請(qǐng)點(diǎn)擊鏈接看看例子。

暫時(shí)也沒有什么好的解決辦法，以前找到過過濾script標(biāo)簽的代碼，但似乎不太完美。

6.不要相信Cookie:

網(wǎng)站中不可避免的會(huì)使用到Cookie,但如果一不注意，小心你的Cookie成了別人的"Cookie"，請(qǐng)點(diǎn)擊鏈接看看例子。
取Cookie和寫Cookie的js方法是在網(wǎng)上找到的，具體鏈接也找不到了。解決辦法，似乎是Cookie加密(當(dāng)然，即使是加密了，也盡量不要把敏感數(shù)據(jù)放到Cookie中)，不知道各位高手還有沒有其它好辦法。

7.不要相信Request.UrlReferrer:

如果有朋友用這個(gè)來驗(yàn)證請(qǐng)求，那么請(qǐng)注意了，這個(gè)東西也是不可信的。見代碼；
System.NET.HttpWebRequest request = System.NET.WebRequest.Create("NET.HttpWebRequest;
request.Referer = "...

那么，這個(gè)時(shí)候你取得的Urlreferrer會(huì)是http://www.cnblogs.com/，但這個(gè)請(qǐng)求卻是偽造的。

8.不要相信用戶：

用戶就是你潛在的威脅，客戶端的東西，永遠(yuǎn)都不要輕信。

另，select標(biāo)簽的內(nèi)容也是不可信的，大家可以動(dòng)手試試，隨便建個(gè)頁(yè)面，里面放個(gè)select，然后:
<a href=/itjie/Javajishu/ target=_blank class=infotextkey>Java</a>script:alert(window.c=function(){var s=document.getElementsByTagName("select")[0];for(var x = 0; x < 100; x++){s.options[x]=new Option("選項(xiàng)" + x, x)}}());

歡迎高手不吝賜教。示例代碼下載。

NET技術(shù)：請(qǐng)不要相信，轉(zhuǎn)載需保留來源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。