XSS跨站脚本攻击漏洞修复技巧

最新推荐文章于 2024-10-03 00:41:24 发布

AI大模型-搬运工

最新推荐文章于 2024-10-03 00:41:24 发布

阅读量1.4k

点赞数 14

文章标签： xss 网络前端 web安全网络安全安全

本文链接：https://blog.csdn.net/2401_84208172/article/details/139017561

版权

跨站脚本攻击漏洞出现和修复

跨站脚本攻击，又称XSS代码攻击，也是一种常见的脚本注入攻击。例如在下面的界面上，很多输入框是可以随意输入内容的，特别是一些文本编辑框里面，可以输入例如这样的内容，如果在一些首页出现很多这样内容，而又不经过处理，那么页面就不断的弹框，更有甚者，在里面执行一个无限循环的脚本函数，直到页面耗尽资源为止，类似这样的攻击都是很常见的，所以我们如果是在外网或者很有危险的网络上发布程序，一般都需要对这些问题进行修复。

XSS代码攻击还可能会窃取或操纵客户会话和 Cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 [建议措施] 清理用户输入，并过滤出 JavaScript 代码。我们建议您过滤下列字符： [1] <>（尖括号） [2] "（引号） [3] '（单引号） [4] %（百分比符号） [5] ;（分号） [6] ()（括号） [7] &（& 符号） [8] +（加号）

为了避免上述的XSS代码攻击，解决办法是可以使用HttpUitility的HtmlEncode或者最好使用微软发布的AntiXSSLibrary进行处理，这个更安全。

【一一帮助安全学习，所有资源获取处一一】

①网络安全学习路线

②20份渗透测试电子书

③安全攻防357页笔记

④50份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年CTF夺旗赛题解析

微软反跨站脚本库（AntiXSSLibrary）是一种编码库，旨在帮助保护开发人员保护他们的基于Web的应用不被XSS攻击。

编码方法	使用场景	示例
HtmlEncode(String)	不受信任的HTML代码。	Click Here [不受信任的输入]
HtmlAttributeEncode(String)	不受信任的HTML属性

JavaScriptEncode(String)	不受信任的输入在JavaScript中使用
UrlEncode(String)	不受信任的URL	Cnblogs.com
VisualBasicScriptEncode(String)	不受信任的输入在VBScript中使用
XmlEncode(String)	不受信任的输入用于XML输出	[Untrusted input]
XmlAttributeEncode(String)	不受信任的输入用作XML属性	Some Text

        protected void Page_Load(object sender, EventArgs e)
        {
            this.lblName.Text = Encoder.HtmlEncode("<script>alert('OK');</SCRIPT>");
        }

例如上面的内容，赋值给一个Lable控件，不会出现弹框的操作。

但是，我们虽然显示的时候设置了转义，输入如果要限制它们怎么办呢，也是使用AntiXSSLibrary里面的HtmlSanitizationLibrary类库Sanitizer.GetSafeHtmlFragment即可。

        protected void btnPost_Click(object sender, EventArgs e)
        {
            this.lblName.Text = Sanitizer.GetSafeHtmlFragment(txtName.Text);
        }

这样对于特殊脚本的内容，会自动剔除过滤，而不会记录了，从而达到我们想要的目的。