另外,当使用"文档系统对象"组件打开或创建文档时,假如文档名取自用户的输入内容,那么很可能被攻击者利用去试图打开一个电脑的串口或打印机设备。为了防止这个问题发生,我们能够使用下面的Jscript代码除去非法文档名:
var strOut = strIn.replace(/(AUX|PRN|NUL|COM\d|LPT\d) \s*$/i,"");
从以上几个简单的实例,我们能够看到脚本引擎版本5处理字符串的强大功能。微软站点有关于脚本应用的周详文档和例程,地址如下:
文档:http://msdn.microsoft.com/scripting/default.htm
例程:http://msdn.microsoft.com/workshop/languages/clinic/scripting051099.asp
禁止父路径(Parent Paths)表达法
默认情况下,能够在函数中使用父路径".."。但是为了安全考虑,我们应该禁止这个功能,步骤如下:
在"Internet服务管理器"中右键点击要处理服务器的"默认Web站点",从弹出菜单中选择"属性 "
点击"主目录"选项卡
点击"配置"
点击"应用程式选项"选项卡
去除"启用父路径"复选框
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
