阿里之家

有时我们需要从codebehind控制前端的JavaScript显示，比如弹出确认框等等。

.NET 2.0之前Page类的RegisterStartupScript和RegisterClientScriptBlock；.NET 2.0及其后改到ClientScriptManager类的RegisterStartupScript和RegisterClientScriptBlock。

处理时可参照Discuz!NT3.1.0源码AdminPage.cs中：

#if NET1

     base.RegisterStartupScript(key, script);

else

     ClientScript.RegisterStartupScript(this.GetType(), key, script);

[注]略去#define NET1

Discuz!NT3.1.0有不少bug，如整合DiscuzNt论坛目前所发现的小BUG及个人简单解决办法。

MSDNASP.NET Life Cycle全面概述了ASP.NET 应用程序与页面生命周期。

文.NET (C#) Internals: ASP.NET 应用程序与页面生命周期（意译）和HttpApplication,HttpModule,HttpContext及Asp.Net页生命周期讲述了里面的若干细节，文IIS5、IIS6、IIS7的ASP.net 请求处理过程比较和文再谈IIS与ASP.NET管道则从应用程序服务器IIS角度讲述了其演变过程。

实战CAT.NET分析Discuz!NT3.1.0源码下载。在Visual Studio 2010内对Discuz.Data运行代码分析（仅运行安全规则），得到若干警告，双击第一个警告得到下图：

标红是后加的代码，也是希望书写的形式。F1该警告，浏览器转向帮助，可以看出这个漏洞实际上是SQL注入。

关于Discuz的Asp.NET代码分析，还可以参考Discuz!NT - 代震军BLOG。

1.文跨入安全的殿堂--读《Web入侵安全测试与对策》感悟中提到了一本入门书《Web入侵安全测试与对策》（电子版），它概述了各种对Web软件的攻击方式。与此类似则有文Web应用安全之漏洞测试技术和在线的Fortify软件安全错误分类。

2.文基本代码安全知识和web开发注意事项则是若干实际经验。

3.文10+ Free Web Application Security Testing Tools简要介绍了10款免费Web安全工具，有几款在前面的博文中已有过涉及。

微软Web Protection Library (WPL)包括AntiXSS和Security Runtime Engine (SRE)，其中AntiXSS用了白名单。SRE仅编码控件数据，对Response.Redirect和后台写的Javascript无能为力，这时需要借用静态源码安全分析工具CAT.NET，文介紹好用工具：CAT.NET (靜態程式碼安全檢測工具)简要介绍了其使用。

回归到XSS预防工具，前文简要列举了一些规则，现在主要聚焦AntiXSS库，文AntiXSS - 支持Html同时防止XSS攻击和微软反跨站脚本库3.0 RTM给出了若干介绍。查看WPL源码，其中AntiXSSLibrary目录AntiXSS.cs给出了白名单定义，见图。