.netcore 处理xss攻击,做输入验证

最新推荐文章于 2023-12-29 15:39:52 发布
最新推荐文章于 2023-12-29 15:39:52 发布
阅读量1k 收藏
点赞数
分类专栏: .net Core C# 文章标签: .netcore xss web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Apeart/article/details/123984981
版权
.net Core 同时被 2 个专栏收录
12 篇文章 0 订阅
订阅专栏
C#
11 篇文章 0 订阅
订阅专栏

开发中我们往往需要给用户输入做一些特殊的过滤,主要的是防止xss攻击,至于一般的,有MaxLengthAttribute PhoneAttribute RegularExpressionAttribute等。

MaxLengthAttribute 类 (System.ComponentModel.DataAnnotations) | Microsoft Docs

上面是校验是否通过,我们这次做一个替换的,主要目的是防止xss工具,原理是比如在用户的输入字段中包裹一些js或者引入外部js等然后浏览器访问了,就可以执行这个脚本。

定义一个过滤器给模型用,主要是标注下哪些模型是使用富文本过滤的,毕竟我的思路是普通的字符串直接替换<>符号,至于富文本则有其他的规则。

    public class EditHtmlAttribute : Attribute
    {
        public EditHtmlAttribute() { }
    }

定义一个过滤器:

    /// <summary>
    /// XSS工具过滤
    /// </summary>
    public class XSSAttribute : ActionFilterAttribute
    {
        /// <summary>
        /// 
        /// </summary>
        /// <param name="context"></param>
        public override void OnActionExecuting(ActionExecutingContext context)
        {
            //post的xss过滤如何行驶?
            //获取Action参数集合
            var ps = context.ActionDescriptor.Parameters;
            //遍历参数集合
            foreach (var p in ps)
            {
                if (context.ActionArguments[p.Name] != null)
                {
                    //当参数等于字符串
                    if (p.ParameterType.Equals(typeof(string)))
                    {                       
                        context.ActionArguments[p.Name] = StringFilter(context.ActionArguments[p.Name].ToString());
                    }
                    else if (p.ParameterType.IsClass)//当参数等于类
                    {
                        ModelFieldFilter(p.Name, p.ParameterType, context.ActionArguments[p.Name]);
                    }
                }

            }
            base.OnActionExecuting(context);
        }

        /// <summary>
        /// 遍历修改类的字符串属性
        /// </summary>
        /// <param name="key">类名</param>
        /// <param name="t">数据类型</param>
        /// <param name="obj">对象</param>
        /// <returns></returns>
        private object ModelFieldFilter(string key, Type t, object obj)
        {
            //获取类的属性集合
            var ats = t.GetCustomAttributes(typeof(XSSAttribute), false);
            if (obj != null)
            {
                //获取类的属性集合
                var pps = t.GetProperties();

                foreach (var pp in pps)
                {
                    if (pp.GetValue(obj) != null)
                    {
                        //当属性等于字符串
                        if (pp.PropertyType.Equals(typeof(string)))
                        {
                            //pp.CustomAttributes.Contains();
                            var find = false;
                            if (pp.CustomAttributes.Count() > 0)
                            {
                                foreach (var ca in pp.CustomAttributes)
                                {
                                    //是否标注了富文本
                                    if (ca.AttributeType.Name == nameof(EditHtmlAttribute))
                                    {
                                        find = true;
                                        break;
                                    }
                                    //可以扩展是否忽略校验
                                }
                            }

                            if (!find)
                            {
                                string value = pp.GetValue(obj).ToString();
                                pp.SetValue(obj, StringFilter(value));
                            }
                            else
                            {
                                    string value = pp.GetValue(obj).ToString();
                                    pp.SetValue(obj, HtmlFilter(value));                        
                            }

                        }
                        else if (pp.PropertyType.IsClass)//当属性等于类进行递归
                        {
                            pp.SetValue(obj, ModelFieldFilter(pp.Name, pp.PropertyType, pp.GetValue(obj)));
                        }
                    }

                }
            }

            return obj;
        }
        /// <summary>
        /// 基本字符串的过滤器
        /// </summary>
        /// <param name="val"></param>
        /// <returns></returns>
        private string StringFilter(string val)
        {
            if (!String.IsNullOrEmpty(val))
            {
                //这里填写普通字符串的过滤规则
                return val.Replace("<", "&lt;").Replace(">","&gt;");
            }
            return val;
        }

        /// <summary>
        /// 富文本的过滤器
        /// </summary>
        /// <param name="val"></param>
        /// <returns></returns>
        private string HtmlFilter(string val)
        {
            if (!String.IsNullOrEmpty(val))
            {
                //这里填写关于富文本的自定义过滤规则
                return val.Replace("<script", "&lt;");
            }
            return val;
        }
    }

接下来就是测试一下了。

        /// <summary>
        /// 验证html关键替换
        /// </summary>
        /// <param name="name"></param>
        /// <param name="url"></param>
        /// <returns></returns>
        [HttpPost]
        [XSSAttribute]//标注使用xss替换校验
        public string PostUrl(ModelItem input)
        {
            return Newtonsoft.Json.JsonConvert.SerializeObject(input);
        }

ModelItem的模型如下:

    public class ModelItem
    {
        /// <summary>
        /// 其他参数
        /// </summary>
        public int Age { get; set; }

        /// <summary>
        /// 一般字符串内容
        /// </summary>
        public string Str { get; set; }

        /// <summary>
        /// 富文本内容
        /// </summary>
        [EditHtmlAttribute]
        public string Html { get; set; }

    }

然后运行项目测试下!

PasteSpider
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家个参考。一起跟随小编过来看看吧
.net core xss攻击防御
zhanglong_longlong的专栏
02-23 648
SS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 比如我们在表单提交的时候插入脚本代码 如果不进行处理,那么就是这种效果,我这里只是演示一个简单的弹窗 下面给大家分享一下我的解决方案。 需要用到这个库:HtmlSanitizer https://github.com/mganss/HtmlSa
net core xss×××防御
weixin_34390996的博客
07-12 129
XSS×××全称跨站脚本×××,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本×××缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 比如我们在表单提交的时候插入脚本代码 如果不进行处理,那么就是这种效果,我这里只是演示一个简单的弹窗 下面给大家分享一下我的解决方案。 需要用...
ASP.NET Core中使用Csp标头对抗Xss攻击
qq_39110534的博客
09-04 430
内容安全策略(CSP)是一个增加的安全层,可帮助检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到站点破坏或恶意软件分发的所有内容(深入CSP) 简而言之,CSP是网页控制允许加载哪些资源的一种方式。例如,页面可以显式声明允许从中加载JavaScript,CSS和图像资源。这有助于防止跨站点脚本(XSS攻击等问题。 它也可用于限制协议...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web... <filter-class>com.xxx.Filter.XssFilter</filter-class> <filter-name>XssFilter <url-pattern>/* </filter-mapping>
Asp.NetCore示例代码-权限验证-过滤器-设计模式等
02-12
Asp.NetCore示例代码-权限验证-过滤器-设计模式等,提供大家参考。
ASP.NET Core中如何利用Csp标头对抗Xss攻击
10-16
主要给大家介绍了关于ASP.NET Core中如何利用Csp标头对抗Xss攻击的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用ASP.NET Core具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
VUE.NETCORE前后端分离快速开发框架.zip
04-14
VUE.NETCORE前后端分离快速开发框架.zip
.Net Core 项目中添加统一的XSS攻击防御过滤器
weixin_30555515的博客
08-12 1215
一、前言 最近公司内部在对系统的安全进行培训,刚好目前手里的一个.net core 项目中需要增加预防xss攻击,本文将大概介绍下何为XSS攻击以及在项目中如何统一的预防XSS攻击. 二、XSS简介 XSS 攻击全称为跨站脚本攻击( Cross-site Scripting ),XSS 是一种常见的 web 安全漏洞,它允许攻击者将恶意代码植入到提供给其他用户使用的页面中。XSS 一定...
【ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
【ASP.NET编程知识】.net core xss攻击防御的方法.docx
.Net Core 防御XSS攻击
最新发布
csdn_aspnet的专栏
12-29 794
网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。常见的XSS攻击有三种:反射型XSS攻击、DOM-based型XSS攻击、存储型XSS攻击
在.NET Core Web API中防止XSS
寒冰屋的专栏
06-06 1152
在这篇文章中,您将看到一个关于如何(积极地)在您的API中防御XSS的建议。 你猜怎么着?如果您正在开发一个ASP.NET Web API项目并且没有采取措施来保护它免受XSS(跨站点脚本)的侵害,那么不幸的是,您手上有一个安全漏洞。...
【愚公系列】2023年03月 .NET CORE工具案例-基于AntiXssUF的跨脚本XSS中间件
时光隧道
03-11 8638
XSS是一种跨站脚本攻击攻击者通过在网页中注入恶意脚本,从而获取用户的敏感信息或者控制用户的浏览器。XSS 的应用场景和案例包括但不限于:窃取用户的 Cookie、密码等敏感信息,篡改网页内容,进行钓鱼攻击,控制用户浏览器等。其中,最常见的 XSS 攻击是通过在网站中注入恶意脚本,使得用户在访问该网站时执行该脚本,从而达到攻击的目的。
[Asp.Net Core] 网站中的XSS跨站脚本攻击和防范
jevonsflash的专栏
04-14 277
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(html、javascript、css等),当用户浏览该页面时,嵌入其中的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。源代码出自:https://www.cnblogs.com/OleRookie/p/5970167.html。重新访问,成功触发了XSS弹窗。
.net解决Xss攻击
imherer的博客
09-11 1327
首先要明白什么是Xss攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 数据来源...
.netCore ABP 只修改部分字段 只更新部分列
07-28 1946
也可以弄一个通用的 using Abp.Dependency; using Abp.EntityFrameworkCore; using AutoCodePlan.EntityFrameworkCore; using System.Collections.Generic; using System.Threading.Tasks; namespace AutoCodePlan.Sql { /// <summary> /// 指定更新部分字段...
.netCore 图形验证码,非System.Drawing.Common
09-06 1577
.netcore 验证码,非System.Drawing.common实现,占用资源小, SixLabors.ImageSharp的图形验证码案例!
.netcore 图片处理
06-03
在 .NET Core 中,可以使用 System.Drawing.Common 命名空间中的类来处理图片。以下是一个简单的示例代码,展示如何将图片缩放为指定大小: ```csharp using System.Drawing; using System.Drawing.Imaging; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值