在ASP.NET中防止注入攻击(2)

验证日期字段

　　你需要验证日期字段是否是正确的类型.在大多数情况下,你也需要验证它们的范围,如验证它们是否是将来或是过去的时间.如果你使用服务器控件来捕获一个日期输入值,同时你希望这个值在一个特定的范围内,你可以使用范围验证控件(RangeValidator)并设置它允许的类型为Date类型.这个控件允许你指定一个特殊的时间段通过设置起始的时刻.如果你需要以今天的时间作为参照来验证,比如验证一个时间是在将来还是过去,你可以使用CustomValidator验证控件。

　　使用CustomValidator控件来验证一个日期需要设置ControlToValidate和ErrorMessage属性,在OnServerValidate事件中指定一个自定义的验证逻辑方法.下面是示例代码.

＜%@ Page Language="C#" %＞
＜script runat="server"＞
 void ValidateDateInFuture(object source, ServerValidateEventArgs args)
 

{
 DateTime dt;

 
//
Check for valid date and that the date is in the future

 if ((DateTime.TryParse(args.Value, out dt) == false) || 
 (dt ＜= DateTime.Today))
 

{
 args.IsValid = false;
 }
 }

＜/script＞

＜html＞
 ＜body＞
 ＜form id="form1" runat="server"＞
 ＜div＞
 ＜asp:Label ID="Label1" Runat="server" 
 Text="Future Date:"＞＜/asp:Label＞
 ＜asp:TextBox ID="futureDatetxt" Runat="server"＞＜/asp:TextBox＞
 ＜asp:CustomValidator 
 ID="CustomValidator1" Runat="server" 
 ErrorMessage="Invalid date. Enter a date in the future."
 ControlToValidate="futureDatetxt" 
 OnServerValidate="ValidateDateInFuture"＞
 ＜/asp:CustomValidator＞
 ＜br /＞
 ＜asp:Button ID="submitBtn" Runat="server" Text="Submit" /＞
 ＜/div＞
 ＜/form＞
 ＜/body＞
＜/html＞

　　注意 上面的代码使用的方法DateTime.TryParse是ASP.NET2.0提供的新方法.

　　过滤自由文本字段

　　过滤输入，你需要使不安全的输入不被当作代码来对待.例如,你的程序使用户不能读取共享数据库内的数据,你首先需要过滤数据使它们在输出的时候没有危险.使用HttpUtility.HtmlEncode方法先对输入值进行编码.

　　允许有限的输入HTML代码

在@ Page页面元素内加以下字段ValidateRequest = "false"禁用ASP.NET请求验证 
使用HtmlEncode方法对输入的字符串进行编码 
使用StringBuilder对象,调用它的Replace方法对字符中的HTML进行替换 
　　下面的代码给出了这种办法的示例.此页面设置ValidateRequest = "fasle"禁用了ASP.NET请求验证.它的HTML编码为了显示简单的文本格式允许使用＜b＞和＜i＞标记.

＜%@ Page Language="C#" ValidateRequest="false"%＞
＜script runat="server"＞
 void submitBtn_Click(object sender, EventArgs e)
 

{
 
//
Encode the string input

 StringBuilder sb = new StringBuilder(
 HttpUtility.HtmlEncode(htmlInputTxt.Text));
 
//
Selectively allow and ＜i＞

 sb.Replace("<b>", "＜b＞");
 sb.Replace("</b>", "");
 sb.Replace("<i>", "＜i＞");
 sb.Replace("</i>", "");
 Response.Write(sb.ToString());
 }
＜/script＞
＜html＞
 ＜body＞
 ＜form id="form1" runat="server"＞
 ＜div＞
 ＜asp:TextBox ID="htmlInputTxt" Runat="server" 
 TextMode="MultiLine" Width="318px"
 Height="168px"＞＜/asp:TextBox＞
 ＜asp:Button ID="submitBtn" Runat="server" 
 Text="Submit" OnClick="submitBtn_Click" /＞
 ＜/div＞
 ＜/form＞
 ＜/body＞
＜/html＞

　　验证查询字串的值 

　　验证查询字串的长度,范围,格式和类型.通常,你使用一个合并的正则表达式来完成以下任务: 

约束输入值 
设置明确的范围检查条件 
指定输入的类型并将它转换成ASP.NET平台下的类型,处理任何由类型转换引发的异常下面的代码示例演示了使用Regex类验证由查询字串传递过来的名字字符串 

void Page_Load(object sender, EventArgs e)

{
 if (!System.Text.RegularExpressions.Regex.IsMatch(
 Request.QueryString["Name"], @"^[a-zA-Z’.s]{1,40}$"))
 Response.Write("Invalid name parameter");
 else
 Response.Write("Name is " + Request.QueryString["Name"]);
}

　　验证Cookie值

　　象查询字串这样被保存在Cookie里面的值很容易被用户修改.同样地验证这些值的长度,范围,格式和类型.

验证文件和URL地址

　　如果你的程序允许输入文件名,文件地址或者文件存放路径,你需要验证它们的格式是否正确并且根据你的程序实际情况它指向一个有效的位置.如果此步验证失败,你的程序可能会被错误地要求访问文件.

　　验证文件路径

　　为了避免你的程序被用户利用来访问文件,防止接受用户编写代码输入的文件或者文件路径.例如 : 

如果你接受输入文件名,使用System.IO.Path.GetFileName方法来取得文件的全称 
如果你不得不接受输入文件路径,使用System.IO.Path.GetFullPath来取得完整的文件路径 

　　使用MapPath方法防止跨应用程序的映射 

　　如果你使用MapPath方法在服务器上映射一个提供的虚拟目录到一个物理目录,使用Request.MapPath方法的一个带bool参数的重载版本来防止跨应用程序的映射.下面是此项技术的示例代码 :

try

{
 string mappedPath = Request.MapPath( inputPath.Text, 
 Request.ApplicationPath, false);
}
catch (HttpException)

{
 
//
Cross-application mapping attempted

}

　　最终的false参数将会防止跨应用程序的映射.这意味着用户不允许使用＂．．＂这样的语法提供一个不在你所指定的虚拟目录里面的非法路径．

　　如果你使用服务器控件，你可以使用Control.MapPathSecure方法获取虚拟目录对应的实际目录地址．

　　Control.MapPathSecure方法在访问一个非授权的文件时抛出一个HttpException的异常．需要更多信息，请参看.NET Framework文档中的Control.MapPathSecure方法介绍．

　　使用代码访问安全机制限制文件输入输出

　　管理员可以通过设置程序使它的可信度为＂中＂来限制程序向它所在的虚拟目录读写文件的能力．.NET代码安全机制可以保证程序在它所在的虚拟目录之外没有任何的文件访问权利.

　　要设置一个应用程序的信任度为"中",可以在Web.config或者Machine.config文件中加入:

＜trust level = "Medium" /＞

　　验证URL

　　你可以用象下面的这样的正则表达式来对URL进行特征匹配.

^(?:http|https|ftp)://[a-zA-Z0-9.-]+(?::d{1,5})?(?:[A-Za-z0-9.;:@&=+$,?/]|%u[0-9A-Fa-f]{4}|%[0-9A-Fa-f]{2})*$

　　这只是约束输入的格式,不验证它是否在应用程序可接受的范围内.你应该验证它是否在你的程序的上下文中有效.例如,您的应用程序是否跟你指定的服务器进行通讯?

　　第三步.对不安全代码进行编码

　　如果您输入文本输入到一个网页,使用HttpUtility.HtmlEncode方法对它进行编码.如果这些文来自于用户输入,数据库或者一个本地文件,请确保总是这样做.

　　同样地,如果您书写的URL里面包含不安全的字符因为他们来自于用户输入内容,数据库等,使用HttpUtility.UrlEncode方法进行编码.

　　为了防止存储数据前编码可能会使存储的数据受到破坏,请确保在将它们显示出来时尽可能后面的步骤将它们编码.

　　使用HtmlEncode对不安全的输出编码

　　HtmlEncode对HTML标记置换成特殊含文的字符串来表示这些符号而又让浏览器不把它们当作HTML标记来解释处理.比如."＜"被置换成< " (冒号) 被替换成" 这些标记被显示成无害的文本.

＜%@ Page Language="C#" ValidateRequest="false" %＞

＜script runat="server"＞
 void submitBtn_Click(object sender, EventArgs e)
 {
 Response.Write(HttpUtility.HtmlEncode(inputTxt.Text));
 }
＜/script＞

＜html xmlns="http://www.w3.org/1999/xhtml" ＞
 ＜body＞
 ＜form id="form1" runat="server"＞
 ＜div＞
 ＜asp:TextBox ID="inputTxt" Runat="server" 
 TextMode="MultiLine" Width="382px" Height="152px"＞
 ＜/asp:TextBox＞
 ＜asp:Button ID="submitBtn" Runat="server" Text="Submit" 
 OnClick="submitBtn_Click" /＞
 ＜/div＞