使用 Flex 和 ASP.NET 保存文件时如何防止 XSS 漏洞？

Question

我已经使用alivePDF在我的flex应用程序中实现了PDF生成功能，我想知道我用于将文件获取给用户的过程是否会创建XSS漏洞。

这是我当前正在使用的过程：

1. 在 Flex 应用程序中创建 PDF。
2. 使用 POST 将二进制 PDF 文件连同要传送的文件名一起发送到服务器。
3. 服务器上的 ASP.NET 脚本检查文件名以确保其有效，然后将其作为 HTTP 附件发送回用户。

鉴于此，我应该采取哪些措施来防止 XSS？

Answer 1

除了文件名之外还有其他 GET 或 POST 参数吗？

预防XSS主要有三种策略：验证、转义和过滤。

验证：检测到无效字符后，拒绝 POST 请求（并向用户发出错误）。

转义：保存文件时可能不适用，因为您的操作系统对有效文件名有限制。

过滤：自动去除 POST 文件名参数中的任何无效字符。这就是我针对您的情况所推荐的。

在 ASP.NET 脚本中，立即获取 POST 字符串并删除以下字符：
< > & ' " ? % # ; +

Answer 2

这将如何被 XSS 利用？您不会直接向用户输出某些内容。文件系统只会拒绝奇怪的字符，并且当将文件放入输出流时，名称和内容并不重要。