什么是 JavaScript 注入攻击？

每当接受用户输入的内容并重新显示这些内容时，网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时，反馈信息重新显示在反馈页面上。

客户反馈网站是一个简单的网站。不幸的是，此网站容易遭受 JavaScript 注入攻击。

假设正在将以下文本输入到客户反馈表单中：

此文本表示显示警告消息框的 JavaScript 脚本。在某人将此脚本提交到客户反馈表单后，消息 Boo! 会在将来任何人访问客户反馈网站时显示的攻击。您可能还认为别人不会通过 JavaScript 注入攻击搞破坏。

现在，您对 JavaScript 注入攻击的第一反应也许是不理会。您可能认为 JavaScript 注入攻击不过是一种 无伤大雅

不幸的是，黑客会通过在网站中注入 JavaScript 进行破坏活动。使用 JavaScript 注入攻击可以执行跨站脚本 (XSS) 攻击。在跨站脚本攻击中，可以窃取保密的用户信息并将信息发送到另一个网站。

例 如，黑客可以使用 JavaScript 注入攻击窃取来自其他用户浏览器的Cookies 值。如果将敏感信息（如密码、信用卡帐号或社会保险号码）保存在浏览器Cookies 中，那么黑客可以使用 JavaScript 注入攻击窃取这些信息。或者，如果用户将敏感信息输入到页面的表单字段中，而页面受到 JavaScript 攻击的危害，那么黑客可以使用注入的 JavaScript 获取表单数据并将其发送到另一个网站。

请高度重视。认真对待 JavaScript 注入攻击并保护用户的保密信息。在接下来的两部分中，我们将讨论防止 ASP.NET MVC 应用程序受到 JavaScript 注入攻击的两种技术。

方法 1：视图中的 HTML 编码

阻止 JavaScript 注入攻击的一种简单方法是重新在视图中显示数据时，用 HTML 编码任何网站用户输入的数据

如：<%=Html.Encode(feedback.Message)%>

使用 HTML 编码一个字符串的含意是什么呢？使用 HTML 编码字符串时，危险字符如 < 和 > 被替换为 HTML 实体，如 &lt; 和 &gt;。所以，当使用 HTML 编码字符串 <script>alert(“Boo!”)</script>时，它将转换为 &lt;script&gt;alert(“Boo!”)&lt;/script&gt;。浏览器在解析编码的字符串时不再执行 JavaScript 脚本。而是显示无害的页面

方法 2：写入数据库之前的 HTML 编码

除了在视图中显示数据时使用 HTML 编码数据，还可以在将数据提交到数据库之前使用 HTML 编码数据。第二种方法正是程序清单 4 中 controller 的情况。

如:

请注意，Message 的值在提交到数据库之前是在 Create() 操作中经过 HTML 编码的。当在视图中重新显示 Message 时，Message 被 HTML 编码，因而不会执行任何注入到 Message 中的 JavaScript。

总结

通常，人们喜欢使用本教程中讨论的第一种方法，而不喜欢使用第二种方法。第二种方法的问题在于在数据库中最终会保留 HTML 编码的数据。换言之，数据库中的数据会包含奇怪的字符。这有什么坏处呢？如果需要用除网页以外的形式显示数据库数据，则将遇到问题。例如，不能轻易在 Windows Forms 应用程序中显示数据。

附加：神一般的注入

这是一个有技术含量的号牌遮挡。我们先不说其是不是能奏效，不过，这个创意相当的NB啊。当你驾车通过某些路口时，被摄像头捕捉到你的车牌，通过OCR变成文本(图像识别技术，这里为车牌识别技术)，然后他就DROP掉数据库，于是，上图的这个车牌就成了SQL注入。