ASP网页设计Html标签带来的平安隐患

asp是基于web的一种编程技术，可以说是cgi的一种。它可以完成以往cgi程序的所有功能，如计数器、留言簿、公告板、聊天室等等。平安|平安隐患　　WWW服务是因特网上最主要的服务之一，供应给客户林林总总的信息资本，而把这类信息资本构造起来的一个很主要的器材就是Html超文本言语，然后经由使用的开展就呈现了其他的如UBB等标签可是终极都是以Html代码来完成的。经由研讨发明，即便是最平安的平安代码（已扫除了一般所说的Xss毛病）也没法制止别的一种末路人的打击体例，共同不严厉的程序，大概被人使用发生更年夜的威逼。
　　我们就以如今普遍存在于论坛，文章体系，Blog体系等剧本程序中的[img]标签也就是转化后的"+"请输出要批量删除的用户名。"
ExitSub
EndIf
Sql="selectCOUNT(*)FROMDv_MessagewhereSender="&Request("username")&""
SetRs=Dvbbs.Execute(Sql)
......
这原本是背景的必需要有背景办理权限才干会见的，可是我们机关如许一个Url：
http://bbs.dvbbs.net/admin/messages.asp?action=del&user=;update/**/Dv_User/**/set/**/UserEmail=(select/**/top/**/1/**/
[Username]/**/from/**/Dv_admin)/**/where[UserName]=loveshell;--
　　大概相似的语句了，然后放到[Img]标签里。人人大概以为办理员看本人帖子的大概性也不年夜，可是要晓得论坛短信也是撑持和发帖子一样的[img]标签的，以是假如能给办理员发个短信，在内里机关我们的Img标签只需他一翻开短信就会种招的哦！假如能够和社会工程学联一块，杀人不沾血啊，呵呵！有点遗憾的是似乎动网对&等标记做了转换，人人能够实验冲破，更况且收集上写法不周密的程序何止万万。
　　4设想力人人赢利都这么辛劳，假如把IMG标签里的地点改成附件下载地点的话，呵呵，说说罢了，没有测试。
　　5......
　　再说说对这个成绩怎样进攻，假如想保存这个[IMG]标签可是又不想出成绩的话，是必要转换的，比如限制后缀必需是jpg，呵呵这能够经由过程URL编码加#JPG饶过，归正我以为假如无限制的话一样平常都是能饶过的，即便你限定了IMG，那好，另有Flash标签呢，另有Rm标签呢？......

　　进攻和使用都是困难的。
结论：和PHP一样，ASP简单而易于维护，很适合小型网站应用，通过DCOM和MTS技术，ASP甚至还可以完成小规模的企业应用，但ASP的致命缺点就是不支持跨平台的系统，在大型项目开发和维护上非常困难。

多看多学多思。多看一些关于ASP的书籍，一方面可以扩展知识面一方面可以鉴借别人是如何掌握、运用ASP的;多学善于关注别人，向同学老师多多学习，不论知识的大小;多思则是要将学到的知识灵活运用。

完全不知道到底自己学的是什么。最后，除了教程里面说的几个例子，还是什么都不会。

ASP（ActiveServerPages）是Microsfot公司1996年11月推出的WEB应用程序开发技术，它既不是一种程序语言，也不是一种开发工具，而是一种技术框架，不须使用微软的产品就能编写它的代码，能产生和执行动态、交互式、高效率的站占服务器的应用程序。

ASP也是这几种脚本语言中最简单易学的开发语言。但ASP也是这几种语言中唯一的一个不能很好支持跨平台的语言。　　因为ASP脚本语言非常简单，因此其代码也简单易懂，结合HTML代码，可快速地完成网站的应用程序。

用户端的浏览器不需要提供任何别的支持，这样大提高了用户与服务器之间的交互的速度。

多看多学多思。多看一些关于ASP的书籍，一方面可以扩展知识面一方面可以鉴借别人是如何掌握、运用ASP的;多学善于关注别人，向同学老师多多学习，不论知识的大小;多思则是要将学到的知识灵活运用。

Session:这个存储跟客户端会话过程的数据，默认20分钟失效

封装性使得代码逻辑清晰，易于管理，并且应用到ASP.Net上就可以使业务逻辑和Html页面分离，这样无论页面原型如何改变，业务逻辑代码都不必做任何改动；继承性和多态性使得代码的可重用性大大提高。