Okej, nästa nöt...

jag har läst om detta på swesecure.com och undrar - är detta endast ett hot om jag någonstans har kod som direkt skriver ut användarinmatad data till sajten?

så om jag ex. har

<% =request.querystring("någonting") %>

eller

<% response.write request.querystring("någonting") %>

så är jag i fara för sessionskapning?

Någon kan skicka över en HTML-kod innehållande JavaScript som hämtar värdet på sessionskakan och skickar över den till en främmande sida som sparar den. Sedan kan kakan användas för att komma in på ett konto.

I detta fallet påverkar ju användaren hur sidan besöker den vid det egna besöket (om jag matar in något så påverkar inte det sidan du ser), alltså är det ofarligt.

Funktionen Server.HTMLEncode() konverterar alla tecken till "rätt" HTML, använd den när du presenterar användarinmatad information: http://www.w3schools.com/asp/met_htmlencode.asp

/Johan

Helt ofarligt är det inte. Någon skulle kunna bli lurad att följa en farlig länk, t.ex. genom en länk på annan sida på webbplatsen.

Så med html encode så skrivs vinkelparenteser ut som tecken so inte tolkas som kod, därför kan inga skript eller sidändringar/finurliga skript göras/köras, eller?

Korrekt.

Så men Per det här med annan användare och länk - det är alltså ingen fara när användarna aldrig under några som helst omständigheter tar del av varandras inmatade information?

Mattias, lär dig att koda på det rekommenderade sättet och ifrågasätt inte så mycket om det är säkert i vissa fall men inte i andra.
Om du lär dig att alltid, när det är textformat på data, köra det igenom Server.HTMLEncode innan du skriver ut det på sidan är du alltid säker på att ingen kan göra något du inte vill att de ska göra.

Om du skickar med något i en url, använd URLEncode:

<a href="/page.asp?var=<%=Server.URLEncode(rs("UserName"))%>>