XSS WebAPI solutions

最新推荐文章于 2022-06-06 19:00:00 发布
最新推荐文章于 2022-06-06 19:00:00 发布
阅读量114 收藏
点赞数
分类专栏: WebAPI 文章标签: c# .net
原文链接:https://my.oschina.net/u/4271255/blog/3450455
版权

重写DelegatingHandler的SendAsync方法进行过滤
public class AntiXssHttpMessageHandler : DelegatingHandler
{
protected override System.Threading.Tasks.Task SendAsync(HttpRequestMessage Request, System.Threading.CancellationToken cancellationToken)
{
foreach (var key in Request.RequestUri.ParseQueryString().AllKeys)
{
var value = Sanitizer.GetSafeHtmlFragment(Request.RequestUri.ParseQueryString()[key]);
if (value != Request.RequestUri.ParseQueryString()[key])
{
throw new Exception();
}
}
return base.SendAsync(Request, cancellationToken);
}
}

public static class WebApiConfig
{
public static void Register(HttpConfiguration config)
{
config.Routes.MapHttpRoute(
name: “DefaultApi”,
routeTemplate: “api/{controller}/{id}”,
defaults: new { id = RouteParameter.Optional }
);

    config.EnableSystemDiagnosticsTracing();
    config.MessageHandlers.Add(new AntiXssHttpMessageHandler());
}

}
重写ApiControllerActionInvoker的InvokeActionAsync方法
public class XssActionInvoker : ApiControllerActionInvoker
{
public override Task InvokeActionAsync(HttpActionContext actionContext, CancellationToken cancellationToken)
{
//请求头参数处理—未实现

    Dictionary<string, object> changeDictionary = new Dictionary<string, object>();
    //上下文参数处理
    foreach (var para in actionContext.ActionArguments)
    {
        var paraType = para.Value.GetType();
        //string类型参数,一般为uri上的参数
        if (paraType == typeof(string))
        {
            var value = para.Value.ToString();
            if (!string.IsNullOrWhiteSpace(value))
            {
                value = Sanitizer.GetSafeHtmlFragment(value);//移除有危险的html标签 比如<script>
                //value = System.Web.HttpUtility.HtmlEncode(value);//将html标签进行编码
                changeDictionary.Add(para.Key, value);
            }
        }
        else if (paraType.IsClass)
        {
            var properties = paraType.GetProperties();
            bool flag = false;
            foreach (var e in properties)
            {
                if (e.PropertyType == typeof(string))
                {
                    var value = e.GetValue(para.Value) as string;
                    if (!string.IsNullOrWhiteSpace(value))
                    {
                        value = Sanitizer.GetSafeHtmlFragment(value);
                        e.SetValue(para.Value, value);
                        flag = true;
                    }
                }
            }
            if (flag)
            {
                changeDictionary.Add(para.Key, para.Value);
            }
        }
    }
    foreach (var para in changeDictionary)
    {
        actionContext.ActionArguments[para.Key] = para.Value;
    }
    return base.InvokeActionAsync(actionContext, cancellationToken);
}

}

protected void Application_Start()
{
GlobalConfiguration.Configuration.Services.Replace(typeof(IHttpActionInvoker), new XssActionInvoker());
}

本文转载自:https://www.cnblogs.com/cplemom/p/11247671.html

Momoanna
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web Api全局预防Xss攻击
weixin_30266885的博客
07-25 839
本文转载自https://www.cnblogs.com/ruanyifeng/p/4739807.html。对第二种过滤方法的代码进行了一些修改和注释,记录一下免得以后忘了。已经测试过,应该可以直接复制到项目中直接使用了。 通过了解Web Api的pipeline机制(管道机制),发现可以在两个地方进行参数的过滤 重写DelegatingHandler的SendAsync方法进行过...
漏洞-跨站脚本攻击
吴大侠的博客
12-19 696
漏洞-跨站脚本攻击 1.1 简介 XSS :Cross Site Scripting,为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中 Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。 攻击原理:XSS的原理是WEB应用程序混淆了用户提交的数据和JS脚本的代码边界,导致 浏览器把用
.NET Core Web API中防止XSS
寒冰屋的专栏
06-06 1246
在这篇文章中,您将看到一个关于如何(积极地)在您的API中防御XSS的建议。 你猜怎么着?如果您正在开发一个ASP.NET Web API项目并且没有采取措施来保护它免受XSS(跨站点脚本)的侵害,那么不幸的是,您手上有一个安全漏洞。...
Web API 入门指南 - 闲话安全
weixin_30732825的博客
09-21 329
Web API入门指南有些朋友回复问了些安全方面的问题,安全方面可以写的东西实在太多了,这里尽量围绕着Web API的安全性来展开,介绍一些安全的基本概念,常见安全隐患、相关的防御技巧以及Web API提供的安全机制。 目录 Web API 安全概览 安全隐患 1. 注入(Injection) 2. 无效认证和Session管理方式(Broken Authentication...
API安全之 - XSS 攻击,及防御 XSS 攻击
ws - 兮的博客空间
12-03 1182
一、什么是XSS攻击 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 二、XSS 攻击应用场景 表单提交后页面展示的地方 1、api 接口携带 <script> 参数,返回页面输出展示参数 2、如评论回复,评论 <script>alert('sss')</s...
web安全 XSS 防御与修复
最新发布
07-14
自动化测试
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在SpringBoot项目中集成ESAPI(Enterprise Security API)可以有效地防止XSS攻击。本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS防护。 首先,让我们了解ESAPI。ESAPI是一...
web安全之XSS攻击demo
04-18
本篇将深入探讨XSS攻击的概念、类型、危害以及防范措施,并结合提供的"web安全之XSS攻击demo"进行详细讲解。 XSS攻击是通过注入恶意脚本到Web页面中,使得当其他用户浏览这些页面时,脚本被执行,从而可以盗取用户...
Web应用进行XSS漏洞测试
03-03
WEB应用进行XSS漏洞测试,不能仅仅局限于在WEB页面输入XSS攻击字段,然后提交。绕过JavaScript的检测,输入XSS脚本,通常被测试人员忽略。下图为XSS恶意输入绕过JavaScript检测的攻击路径。XSS输入通常包含...
WebApiNet_C#_experiencem98_webapi_
10-03
9. **安全性和身份验证**:Web API的安全性至关重要,开发者应掌握OAuth2、JWT(JSON Web Tokens)等认证方式,并了解如何防止跨站请求伪造(CSRF)和跨站脚本(XSS)攻击。 10. **依赖注入(Dependency Injection...
C#单点登录与权限管理(web api)--最低分分享
02-28
C#单点登录与权限管理(web api)--最低分分享
webapi接口请求数据防篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据防止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
网络安全之XSS、CSRF、API接口攻击
lentoo的博客
05-06 2107
前言对于网站开发,我们不得不面对各种网络攻击。而网络攻击的方式千姿百态,这次我们就将学习下常见的三种方式 —— XSS、CSRF、API接口攻击。XSS介绍维基百科: 跨...
Web Api安全性设计
Fanbin168的专栏
03-29 6619
分布式通讯框架-->一个系统要访问另外一个系统中的数据,有一下三种方法,第一种分为2种 1.0 ,MVC Webapi  (严格的讲它其实仅仅是一个设计方案,而不是一个设计框架,Webapi流行的标准RESTfu) (也需要做安全性设计) 1.1 , 自己写一个.ashx一般处理程序 (它其实就是提供一个url供别人调用,这个url返回一个xml或者一个Json格式的数据,但是
NET中解决WebAPI解决跨域问题
混迹自留地
03-10 2798
解决跨域问题 环境:NET 6 项目:WebAPI+Vue // 设置允许所有来源跨域 app.UseCors(options => { options.AllowAnyHeader(); options.AllowAnyMethod(); options.AllowAnyOrigin(); options.AllowCredentials(); }); // 设置只允许特定来源可以跨域 app.UseCors(options =>
Web API 版本控制的几种方式
横云断岭的专栏
03-05 3万+
http://www.troyhunt.com/2014/02/your-api-versioning-is-wrong-which-is.html 这篇文章写得很好,介绍了三种实现web api版本化的三种方式。我从评论里又收集到两种方式,所以一共是5种: 方式一:利用URL   HTTP GET: https://haveibeenpwned.com/api/v2/breacheda...
XSS(跨站脚本攻击)详解
热门推荐
谢公子的博客
09-08 7万+
目录 XSS的原理和分类 XSS的攻击载荷 XSS可以插在哪里? XSS漏洞的挖掘 XSS的攻击过程 XSS漏洞的危害 XSS漏洞的简单攻击测试 反射型XSS: 存储型XSS: DOM型XSSXSS的简单过滤和绕过 ​XSS的防御 反射型XSS的利用姿势 get型 post型 利用JS将用户信息发送给后台 XSS的原理和分类 跨站脚本攻击XSS(Cros...
ASP.NET Web API安全指南
15. **安全漏洞** (Chapter 15):讨论了常见的Web API安全漏洞,如SQL注入、XSS攻击、CSRF等,以及如何防止这些威胁。 16. **ASP.NET Web API 安全精粹** (Appendix):这部分可能是对全书安全实践的总结和提炼,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值