MVC Anti-XSS方案

最新推荐文章于 2024-04-24 05:00:00 发布
最新推荐文章于 2024-04-24 05:00:00 发布
阅读量5.2k 收藏 3
点赞数
分类专栏: ASP.NET MVC 文章标签: mvc ajax XSS metadata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cassaba/article/details/21094011
版权

    XSS攻击是用户提交到服务器的数据包含恶意JavaScript脚本,如果这种数据在存储或显示的时候不加处理,那么其它用户访问页面的时候,这些脚本可能被执行,轻则导致页面无法正常使用,重则导致重要信息泄露。

    开发Web应用程序,需要从全局考虑这个问题,采取一致的处理方式,在整个开发过程中严格执行,避免产生XSS漏洞。下面分别就Form和Json两种数据提交模式,所采取的方案做一下介绍。


1. Form提交模式

在使用Form提交的时候,MVC框架提供了一个默认的机制。如果数据中含有恶意字符,则会自动转向出错界面。如下图:




2. Ajax + JSON提交模式

     由于我所开发的项目,前端和后端交互主要通过Ajax + Json来进行。而MVC框架并未提供对于Json数据的anti-XSS支持, 所以必须自行实现。

基础思路是在MVC进行Model Binder的时候,检查request中的MIME类型,如果是application/json, 则接管系统默认的Model绑定和验证。


    Step 1: 定义一个Attribute [AllowHtml], 用于标记Model中的属性. 如果有这个标记,则说明该属性允许Html, 不需要验证

    /// <summary>
    /// 用于标记某个属性是否允许html字符
    /// </summary>
    [AttributeUsage(AttributeTargets.Property, AllowMultiple = false, Inherited = true)]
    public sealed class AllowHtmlAttribute : Attribute
    {

    }

  Step 2: 元数据解析的时候,动态设定标记为AllowHtml的属性不激发验证 

    public class CustomModelMetadataProvider : DataAnnotationsModelMetadataProvider
    {

        public CustomModelMetadataProvider()
        {
        }


        protected override ModelMetadata CreateMetadata(IEnumerable<Attribute> attributes, Type containerType,
                                                        Func<object> modelAccessor, Type modelType, string propertyName)
        {
            var metadata = base.CreateMetadata(attributes, containerType, modelAccessor, modelType, propertyName);
            if (containerType == null || propertyName == null)
                return metadata;

            foreach (Attribute attr in attributes)
            {
                if (attr is AllowHtmlAttribute)
                {
                    metadata.RequestValidationEnabled = false;
                    break;
                }
            }
        }
    }
最低0.47元/天 解锁文章
Cassaba
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
asp.net MVC 安全性
我的左脸像我的右脸
11-11 4003
1. 跨站脚本(XSS) 1.1 介绍 1.1.1 被动注入,利用输入html,javascript 等信息伪造链接,图片等使用提交信息,调转页面等 1.1.2 主动注入,黑客主动参与攻击,不会傻等倒霉的用户上钩 1.2 防御 1.2.1 HTML 编码 Html.Encode 1.2.2 HTML 属性编码 Html.AttributeEncode 1.2.3 url
AntiXSS防止跨站脚本攻击
博妍工作室
04-06 945
AntiXSS,由微软推出的用于防止XSS攻击的一个类库。它的实现原理也是使用白名单机制。 接下来的表格将帮助你决定使用哪个编码函数: 编码函数 应该使用的场景 示例/模式 HtmlEncode 不可信的输入被用作html输出,被分配给一个html属性除外 Click Here [Untrusted input
PHP 安全:如何防止PHP中的XSS
最新发布
新华编程特战队
04-24 988
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS,攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHP 中 XSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本(XSS) 攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户。
ASP.NET MVC Anti-XSS方案
weixin_34327223的博客
12-31 259
1:Form提交模式 在使用Form提交时,MVC框架提供了一个默认的机制。如果数据中含有恶意字,则会自动转向出错页面。 2:Ajax+JSON提交模式。 MVC框架未提供对于Json数据的AntiXSS支持,所以必须自行实现。 Step1:定义一个Attribute[AllowHtml],如果有这个标记,则说明该属性允许Html,不需要验证。 /// &lt...
AntiXSS在页面使用例子
梦想起飞的地方.........
03-12 2367
AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 aspx?id=5242">http://www.microsoft.com/download/en/details.aspx?id=5242   msi安装程序,安装之后,安装目录下有以下文件 AntiXSS.chm   包括类库
谈谈ASP.NET Core MVC中预防跨站脚本攻击(xss)与跨站请求伪造(CSRF)
覃鸿宇的博客
02-28 1278
XSS Cross-Site Scripting 跨站脚本攻击:攻击者将客户端脚本注入到其他用户查看的网页中。 不被信任的数据: • HTML input • HTTP Headers • Query strings • Attributes,EXIF 信息 防止 XSS • HTML Encoding:> 变成 > < 变成 < • Razor 默认开启了 HTML...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常... 阅读此文本-> XSS(跨站点脚本)预防备忘单测试此工具-> Zed攻击代理(ZAP) 通过“ composer require”安装composer require voku/anti-xss 用法:
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
anti-xss-master.zip_Be the Message
09-21
Although the administrators and moderators of LinuxQuestions.org will attempt to keep all objectionable messages off this forum, it is impossible for us to review all messages. All messages express ...
lucy-xss-filter
04-30
Lucy-XSSXssFilter,XssPreventer Lucy-XSS是一个包含两个防御模块的开源库,用于保护Web应用程序免受XSS攻击。 它支持基于白名单规则的安全策略。 当前的默认规则是Naver的标准。 您可以根据需要更改默认规则。...
AntiXss攻击防止的C#代码文件
04-01
AntiXss攻击防止的C#代码文件,AntiXss攻击防止的C#代码文件
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
antixss使用
yanzhibo的专栏IlgawME)Y*Ml
11-26 6510
AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义。 AntiXSS最新版的下载地址:http://wpl.codeplex.com 下载安装之后,安装目录下有以下文件: AntiXSS.chm:      包括类库的操作手册参数说明。 AntiXSSLibrary.dll:      包含Antixss,Encoder类(输出转义
MVC 如何防止XSS、SQL注入攻击
Java_c#
04-19 3228
在Web项目中,通常需要处理XSS,SQL注入攻击。(过滤特殊字符) 解决这个问题有两个思路: 1、在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原 2、在显示的时候对非法字符进行转义 代码: /// <summary> /// 对转义字符进行处理 /// 左尖括号: < &lt; /// 右尖括...
合天实验室xss试验实例6
我只会装360的博客
08-23 297
实例6 获取name,在php中以文本的方式输出,要构造闭合跳出””和echo, 构造” ; alert(1) ; “ 闭合前面和后面的”
ASP.NET AntiXSS的作用
weixin_33842304的博客
12-31 264
XSS跨站脚本攻击 是指用户输入HTML编码对网站进行跨站攻击。 通过使用FCKeditor、FreeTextBox、Rich TextBox、Cute Editor、TinyMCE等等Html编辑器,用户可以输入一些危险字符,注入到网站中,形式XSS。 (一般的解决办法是使用BBCode的方法,但它的表现力不是很友好,而且并不是...
云服务器上搭建beef-xss
03-11
在云服务器上搭建beef-xss(Browser Exploitation Framework)可以用于进行Web浏览器漏洞利用和XSS攻击的测试和研究。下面是一些步骤来搭建beef-xss: 1. 选择云服务器:首先,你需要选择一个云服务器提供商,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值