ASP.NET中如何防止Script攻击

　　网站的安全，很多时候，几乎代表了一个单位网络的安全。对于将网站作为企业对外形象的企业或者政府而言，网站安全更加重要。现在很多网站都安装了防火墙等安全设备，可是，一些简单的进攻，反而颇为让人伤脑筋。
　
　　比如，通过网站，提交恶意代码，这就是比较难以防范的一种进攻，一个比较简单的具体举例，在需要用户提交EMAil地址的数据项，如果用户提交以下信息：<SCRIPT>alert（“hello from script”）</SCRIPT>，结果会怎样呢？当别的用户进入含有这个信息的页面的时候，就会见到一个弹出信息，这是以上提交的恶意代码直接运行的结果，如果这样的代码稍微改动，更加复杂一点，破坏效果自然更加惊人。程序员在设计程序的时候，如果没有较好考虑对用户提交信息进行适当的检测，很容易就会因为程序的不健全而导致不可预料的后果。在ASP和ASP.NET1.0或者其他任何开发工具中，我们不得不在程序中采用一些技巧来防范用户提交的恶意代码，而程序设计的原则就是“假定每一个用户提交的信息都是恶意的”，所以，程序员不得不拿出部分精力来做提交信息的检测工作。而在最新发布的ASP.NET1.1中，这样的检测就简单甚至是不必了。现在，我们来看一个具体的例子：
　

以上的代码很简单，就是将用户输入的信息进行现实，运行以后是这样的：

以上我们输入一个简单的“Hello world”，可以看到，页面很正常的进行了显示，那么，如果我们输入“<script>alert("hello!")</script>”会怎样呢？现在就来看看运行结果：

   很明显，是一个错误信息：“potentially dangerous Request.Form value was detected…”意思是用户提交的信息有潜在的危险，所以，不予提交。这就是Asp.NET的最新特征之一，将用户提交信息的潜在危险排除到最小，当然，要使用这个最新特征是很简单的，直接在页面中可以这样设定：

<%@ Page validateRequest="true" %>

或者，也可以在网站配置文件Web.config中设定：

<configuration>
<system.web>
<pages validateRequest="true" />
</system.web>
</configuration>
当然，要取消这个特征也是可以的，直接在以上设定中将False改为True就可以了。