asp.net防止XSS(脚本)攻击

最新推荐文章于 2023-12-29 15:39:52 发布
最新推荐文章于 2023-12-29 15:39:52 发布
阅读量207 收藏
点赞数
文章标签: 数据库 java javascript ViewUI
原文链接:http://www.cnblogs.com/yhw8899/archive/2011/09/26/2191506.html
版权

将你要传入数据库的值调用此方法进行验证

     /// <summary>   

    /// 过滤xss攻击脚本   

    /// </summary>   

    /// <param name="input">传入字符串</param>   

    /// <returns>过滤后的字符串</returns>   

    public string FilterXSS(string html)   

    {   

        if (string.IsNullOrEmpty(html)) return string.Empty;   

    // CR(0a) ,LF(0b) ,TAB(9) 除外,过滤掉所有的不打印出来字符.    

     // 目的防止这样形式的入侵 <java\0script>   

        // 注意:\n, \r,  \t 可能需要单独处理,因为可能会要用到   

        string ret = System.Text.RegularExpressions.Regex.Replace(   

            html, "([\x00-\x08][\x0b-\x0c][\x0e-\x20])", string.Empty);   

  

        //替换所有可能的16进制构建的恶意代码   

        //<IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&_#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>   

        string chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890!@#$%^&*()~`;:?+/={}[]-_|'\"\\";  

        for (int i = 0; i < chars.Length; i++)  

        {  

            ret = System.Text.RegularExpressions.Regex.Replace(ret, string.Concat("(&#[x|X]0{0,}", Convert.ToString((int)chars[i], 16).ToLower(), ";?)"),  

                chars[i].ToString(), System.Text.RegularExpressions.RegexOptions.IgnoreCase);              

        }  

 

        //过滤\t, \n, \r构建的恶意代码  

        string[] keywords = {"javascript", "vbscript", "expression", "applet", "meta", "xml", "blink", "link", "style", "script", "embed", "object", "iframe", "frame", "frameset", "ilayer", "layer", "bgsound", "title", "base"  

        ,"onabort", "onactivate", "onafterprint", "onafterupdate", "onbeforeactivate", "onbeforecopy", "onbeforecut", "onbeforedeactivate", "onbeforeeditfocus", "onbeforepaste", "onbeforeprint", "onbeforeunload", "onbeforeupdate", "onblur", "onbounce", "oncellchange", "onchange", "onclick", "oncontextmenu", "oncontrolselect", "oncopy", "oncut", "ondataavailable", "ondatasetchanged", "ondatasetcomplete", "ondblclick", "ondeactivate", "ondrag", "ondragend", "ondragenter", "ondragleave", "ondragover", "ondragstart", "ondrop", "onerror", "onerrorupdate", "onfilterchange", "onfinish", "onfocus", "onfocusin", "onfocusout", "onhelp", "onkeydown", "onkeypress", "onkeyup", "onlayoutcomplete", "onload", "onlosecapture", "onmousedown", "onmouseenter", "onmouseleave", "onmousemove", "onmouseout", "onmouseover", "onmouseup", "onmousewheel", "onmove", "onmoveend", "onmovestart", "onpaste", "onpropertychange", "onreadystatechange", "onreset", "onresize", "onresizeend", "onresizestart", "onrowenter", "onrowexit", "onrowsdelete", "onrowsinserted", "onscroll", "onselect", "onselectionchange", "onselectstart", "onstart", "onstop", "onsubmit", "onunload"};  

 

        bool found = true;  

        while (found)  

        {  

            var retBefore = ret;  

            for (int i = 0; i < keywords.Length; i++)  

            {  

                string pattern = "/";  

                for (int j = 0; j < keywords[i].Length; j++)  

                {  

                    if (j > 0)  

                        pattern = string.Concat(pattern, '(', "(&#[x|X]0{0,8}([9][a][b]);?)?", "|(&#0{0,8}([9][10][13]);?)?",  

                            ")?");  

                    pattern = string.Concat(pattern, keywords[i][j]);  

                }  

                string replacement = string.Concat(keywords[i].Substring(0, 2), "<x>", keywords[i].Substring(2));   

                ret = System.Text.RegularExpressions.Regex.Replace(ret, pattern, replacement, System.Text.RegularExpressions.RegexOptions.IgnoreCase);   

                if (ret == retBefore)   

                    found = false;   

            }   

  

        }   

  

        return ret;   

    }  

转载于:https://www.cnblogs.com/yhw8899/archive/2011/09/26/2191506.html

dianpu2953
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net mvc 过滤XSS跨站脚本攻击
冻死的企鹅
08-12 1105
asp.net mvc 过滤跨站点脚本攻击拦截器 using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Text.RegularExpressions; using System.Web; namespace Org.Core.Commons { /// /// http访问拦截器模块 /// 1.过滤危险关键词 /// 2.增加安全Header
ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
XSS 攻击全称为跨站脚本攻击,它是一种在 Web 应用中的计算机安全漏洞XSS 攻击允许恶意用户将代码植入到提供给其他用户使用的页面中,从而导致安全漏洞。 二、使用 HtmlSanitizer 库防御 XSS 攻击 HtmlSanitizer...
.net 跨站脚本攻击XSS漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 7823
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
Asp.Net预防XSS攻击
qq_37636786的博客
08-22 330
在网站目录下创建一个XSSFilter类2.在Global.asax的Application_BeginRequest事件中添加如下代码。在Global.asax的Application_BeginRequest事件中添加如下代码,出现异常会跳转到错误页面。
Asp.net防御XSS攻击组件库
weixin_34390105的博客
04-27 865
一、AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下。 目前类库已融入到.netframework中,类库主页不再更新。 使用方法:使用Nuget,搜索AntiXss 在项目中添加命名空间引用:using Microsoft.Security.Application; 示例代码: string xssstr="&lt...
在.NET Core Web API中防止XSS
寒冰屋的专栏
06-06 1229
在这篇文章中,您将看到一个关于如何(积极地)在您的API中防御XSS的建议。 你猜怎么着?如果您正在开发一个ASP.NET Web API项目并且没有采取措施来保护它免受XSS(跨站点脚本)的侵害,那么不幸的是,您手上有一个安全漏洞。...
ASP.NET Core MVC 中防止 XSS 攻击
最新发布
06-12
跨站点脚本 (XSS) 攻击是一种严重的安全威胁,恶意脚本会注入其他用户查看的网页中。源码通过 ASP.NET Core MVC 中构建一个简单的博客应用程序,同时使用内置安全功能和最佳实践来防止 XSS 攻击
ASP.NET跨站脚本攻击漏洞修补文件aspx版 v1.0
03-16
跨站脚本攻击漏洞修补文件aspx版,使用方法:1.将App_Code目录拷贝到web根目录  假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。  2.将Global.asax文件拷贝到web...
有关ASP.NET中跨站点脚本XSS)预防的绝对入门教程
04-11
ASP.NET框架下,了解并防范XSS攻击对于开发安全的Web应用至关重要。 首先,我们要理解XSS的类型。XSS通常分为三种:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意代码的链接来触发,而...
ASP.NET Core中如何利用Csp标头对抗Xss攻击
10-16
ASP.NET Core中,XSS(跨站脚本攻击是一种常见的安全威胁,它允许攻击者在用户浏览器中执行恶意脚本。为了对抗这种威胁,开发者可以利用Content Security Policy(CSP)标头,这是一种安全机制,用于规定网页上...
ASP.NETXSS和注入的简单方法.pdf
05-19
在本文中,我们将探讨如何在ASP.NET防止跨站脚本攻击XSS)和注入攻击,这两种攻击是网络安全中的常见威胁。 首先,跨站脚本攻击(Cross-Site Scripting,简称XSS)是指攻击者通过在网页中注入恶意脚本,从而...
基于ASP.net的教务管理系统源码.zip
05-29
7. **安全性**:学习如何保护系统免受SQL注入、跨站脚本XSS)等攻击,以及如何实现身份验证和授权。 8. **部署与调试**:了解如何将ASP.NET应用部署到IIS服务器,并进行调试和性能优化。 通过这个项目,开发者...
基于ASP.net的企业文件管理系统源码.zip
08-28
10. **安全性**:考虑了防止SQL注入、跨站脚本攻击XSS)等安全措施,确保系统安全运行。 这个源码项目为初学者和开发者提供了一个实践和学习ASP.NET、C#以及Web开发的实例,有助于提升他们在实际项目中的应用能力...
asp防范跨站点脚本攻击的的方法
10-30
ASP.NET MVC框架提供了Razor视图引擎,其中的`@Html.Raw()`和`@Html.Encode()`方法可以分别用于原样输出和编码输出,根据需要选择合适的输出方式,防止XSS。 7. **使用HTTPOnly Cookie**: 将敏感的Cookie标记为...
适用于asp.net以及IIS服务器测试的网站源码(含有xss以及sql注入漏洞
05-25
这个资源包含了一个带有XSS(跨站脚本攻击)和SQL注入漏洞ASP.NET网站源代码,非常适合学习和测试目的。 【描述】中提到的“网络攻防实践实验”是指通过模拟真实的攻击场景,帮助安全专业人员或开发者了解和防御...
php防止xss攻击以及sql注入
zhumengstyle的博客
12-17 686
function SafeFilter (&amp;amp;$arr) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/'...
[Asp.Net Core] 网站中的XSS跨站脚本攻击和防范
2201_75761617的博客
08-07 420
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(html、javascript、css等),当用户浏览该页面时,嵌入其中的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。将危险内容过滤去除,用HTML转义字符串(Escape Sequence)表达的则保留。再次请求时,已将危险代码转成HTML转义字符串的形式。
.net解决Xss攻击
imherer的博客
09-11 1355
首先要明白什么是Xss攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 数据来源...
.Net Core 防御XSS攻击
csdn_aspnet的专栏
12-29 903
网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?XSS攻击又称为跨站脚本XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。常见的XSS攻击有三种:反射型XSS攻击、DOM-based型XSS攻击、存储型XSS攻击
ASP.NET内置安全特性:抵御Web攻击策略
"利用ASP.NET的内置功能抵御Web攻击" ASP.NET作为一款强大的Web开发框架,提供了许多内置功能来帮助开发者增强应用程序的安全性。面对日益增长的Web攻击威胁,如跨站点脚本XSS)、SQL注入、会话劫持等,开发人员...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值