我有一个使用asp.net开发的Web项目。
在我的Web项目中,我有一个叫做MainPage的页面。根据查询字符串,在MainPage上最后一次用户可以看到一个调查编辑表单(www.a.com?entity=survey@op=edit)或参数插入表单(www.a.com?entity=parameter&op=add)等等。
以上查询字符串示例只是示例,因为我对它们进行了加密,实际上最后一个用户在URL上看到的是一些复杂的单词。
例如:www.a.com?saşlfas571=sflkmlm11sd&13kjn13=1378183
此外,在MainPage中,我正在加载一个名为MainPageJs的JavaScript,并根据查询字符串显示正确的js代码。
我在MainPage.cshtml中加载MainPageJs。
@section scripts{
<script type="text/javascript" src="@CustomUrl.CustomAction("MainPageJS", "Home", new { entity= entityName, op = opName })"></script>
下面的代码展示了MainPageJs的工作原理。
....
string res = "";
if (queryString == "parameter")
{
res = "var a = 1;";
}
if (queryString == "survey")
{
res = "var a = 2;";
}
if (queryString == "user")
{
res = "var a = 3;";
}
return JavaScript(res.ToString());
现在我想知道的是:
- 我的代码风格有没有安全问题?
- 我的网页有没有安全漏洞?
- 这个风格是否存在JavaScript代码注入漏洞?