１：SQL 注入
２：XSS
３：CSRF
４：文件上傳
１：SQL 注入
引起原因：
其實現在很多網站中都存在這種問題。就是程序中直接進行SQL語句拼接?？赡苡行┳x者不太明白。下面通過一個登錄時對用戶驗證來說明：
code:
驗證時的sql語句: select * from where user='"+txtUsername.Text+"' and pwd='"+txtPwd.Text+"'
這是一段從數據庫中查詢用戶，對用戶名，密碼驗證。
看上去好象沒有什么問題，但是實際這里面淺藏著問題，用戶名：admin 密碼： admin，
select * from where user='admin' and pwd='admin'
如果用戶和密碼正確就可通驗證。如果我用戶名：asdf' or 1=1 -- 密碼：隨意輸入.
我們再來看語句：
select * from where user=‘asdf' or 1=1 -- and pwd=''
執行后看到什么？是不是所有記錄，如果程序只是簡單判斷返回的條數，這種方法就可以通驗證。
如果執行語句是SA用戶，再通過xp_cmdshell添加系統管理員，那么這個服務器就被拿下了。
解決方法：
（１）：這個問題主要是由于傳入特殊字符引起的我們可以在對輸入的用戶名密碼進入過濾特殊字符處理。
（２）：使用存儲過程通過傳入參數的方法可解決此類問題（注意：在存儲過程中不可使用拼接實現，不然和沒用存儲過和是一樣的）。
２：XSS（跨站腳本攻擊）
引起原因：
這個也有時被人們稱作HTML注入，和sql注入原理相似，也是沒有特殊字符進行處理。是用戶可以提交HTML標簽對網站進行重新的構造。其實在默認的情況下在asp.net網頁中是開啟validateRequest屬性的，所有HTML標簽后會.NET都會驗證：

但這樣直接把異常拋給用戶，多少用戶體驗就不好。
解決方法：
（１）：通過在 Page 指令或 配置節中設置 validateRequest=false 禁用請求驗證，然后我們對用戶提交的數據進行HtmlEncode,編碼后的就不會出現這種問題了（ASP.NET 中編碼方法：Server.HtmlEncode(string)）。
（２）：第二種是過濾特殊字符，這種方法就不太提倡了，如果用戶想輸入小于號（<）也會被過濾掉.
３：CSRF（跨站點請求偽造）
引起原因：個人認為csrf在Ajax盛行的今天來說，倒是方便了，因為它可以在你不知道的情況用你的通過驗證用戶進行操作，所以也被稱為瀏覽器劫持。如果你已通過某個網站的驗證那么你將以你的角色對網站進行操作，比如你是管理員可以添加其它的用戶到管理組，但是如果有人構造了添加管理員的鏈接被管理員點后也會執行相應操作.具體原因可參考lake2寫的文章http://blog.csdn.net/lake2/archive/2008/04/02/2245754.aspx
解決方法：
在lake2的文章中也提出了。就是修改信息時添加驗證碼?；蛱砑覵ession令牌（ASP.NET中已經提供一個自動防范的方法，就是用頁面屬性ViewStateUserKey.在Page_Init方法中設置其值。this.ViewStateUserKey=Session.SessionID）。
４：文件上傳
引起原因：
如果你的網站使用的是在線編輯器，如FCKEditor,eWeb等等，如果沒有處理好文件上傳，那么上線后網站會很快的被篡改。

? ?
職業規劃網? ? 網購從這里開始 ( 物美價廉還等什么?!!! ) ? ?

2012夏裝新款薄紗拼接性感包臀顯瘦party宴會禮服連衣裙子女配胸
2012夏裝新款韓版時尚雪紡皇冠ZUMA正品女裝小衫短上衣
2條包郵 春夏 韓版 糖果色運動休閑松緊腰大碼短褲 沙灘褲 熱褲
簡約字母韓版百搭露肩小性感隨意范兒中長款長袖T恤
春裝 新款 女裝豹紋絲絨百搭裙包臀裙打底裙迷你闊擺裙短裙半
秋水伊人2012新款夏裝連衣裙122102023專柜正品代購女裙子夏季新
秋水伊人2012新款夏裝連衣裙122102017專柜正品代購女裙子送禮品
2012夏季新款大碼女裝褲夏女七九分彈力韓版潮顯瘦打底褲包郵薄款
春裝2012新款 蘊熙韓版女裝 修身款打底衫 女式圓領長袖T恤 包郵
《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的asp.net网站安全常见问题与防范的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。