正则表达式过滤HTML危险脚本

最新推荐文章于 2020-02-28 21:31:43 发布
最新推荐文章于 2020-02-28 21:31:43 发布
阅读量782 收藏
点赞数
分类专栏: Asp/Asp.net/Jsp/Php 文章标签: html 正则表达式 regex iframe javascript 脚本

原贴:http://www.youthbar.com/more.asp?name=stoneedu&id=3771

在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。
当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。
我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例:
1. <script>标记中包含的代码
2. <a href=javascript :...中的代码
3. 其它基本控件的 on...事件中的代码
4. iframe 和 frameset 中载入其它页面造成的攻击
有了这些资料后,事情就简单多了,写一个简单的方法,用正则表达式把以上符合几点的代码替换掉:
public string wipescript(string html)
{
system.text.regularexpressions.regex regex1 = new system.text.regularexpressions.regex(@"<script[/s/s]+</script *>",system.text.regularexpressions.regexoptions.ignorecase);
system.text.regularexpressions.regex regex2 = new system.text.regularexpressions.regex(@" href *= *[/s/s]*script *:",system.text.regularexpressions.regexoptions.ignorecase);
system.text.regularexpressions.regex regex3 = new system.text.regularexpressions.regex(@" on[/s/s]*=",system.text.regularexpressions.regexoptions.ignorecase);
system.text.regularexpressions.regex regex4 = new system.text.regularexpressions.regex(@"<iframe[/s/s]+</iframe *>",system.text.regularexpressions.regexoptions.ignorecase);
system.text.regularexpressions.regex regex5 = new system.text.regularexpressions.regex(@"<frameset[/s/s]+</frameset *>",system.text.regularexpressions.regexoptions.ignorecase);
html = regex1.replace(html, ""); //过滤<script></script>标记
html = regex2.replace(html, ""); //过滤href=javascript : (<a>) 属性
html = regex3.replace(html, " _disibledevent="); //过滤其它控件的on...事件
html = regex4.replace(html, ""); //过滤iframe
html = regex5.replace(html, ""); //过滤frameset
return html;
}
此方法输入可能包含脚本的html代码,返回则就是干净的代码了。


 
ianc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
javascript过滤危险脚本方法
12-03
下面是他们的字符串规则: 1、<(script|link|style|iframe)(.|\n)*<\/\1>\s* 2、\s*on[a-z]+\s*=\s*(“[^”]+”|'[^’]+’|[^\s]+)\s*(?=>) 3、\s*(href|src)\s*=\s*(“\s*(javascript|vbscript):[^”]+”|’\s*(javascript|vbscript):[^’]+’|(javascript|vbscript):[^\s]+)\s*(?=>) 4、epression\((.|\n)*\);? 了解他们的规则后,抓虫行动就水到渠成。 抓虫1 a { heigh
正则表达式过滤脚本的一些研究(asp.net + C#)
.NET大观
05-25 1197
在做一些网站(特别是BBS之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 HtmlEncode 和 HtmlDecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例: 1. 标记中包含的代码 2. 3. 其它基本控件的 on...事件中的代码 4.
谈谈ASP.NET Core MVC中预防跨站脚本攻击(xss)与跨站请求伪造(CSRF)
覃鸿宇的博客
02-28 1254
XSS Cross-Site Scripting 跨站脚本攻击:攻击者将客户端脚本注入到其他用户查看的网页中。 不被信任的数据: • HTML input • HTTP Headers • Query strings • Attributes,EXIF 信息 防止 XSS • HTML Encoding:> 变成 > < 变成 < • Razor 默认开启了 HTML...
C#使用正则表达式过滤html标签
12-31
在项目中遇到这样一个需求,需要将一段html转换为一般文本返回,万能的正则表达式来了。 正则表达式来拯救你,代码如下: public static string Html2Text(string htmlStr) { if (String.IsNullOrEmpty(htmlStr)) {...
java使用正则表达式过滤html标签
09-01
本篇文章主要介绍了java正则表达式过滤html标签,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
正则表达式过滤html代码
12-12
Function stripHTML(strHTML)‘Strips the HTML tags from strHTML  Dim objRegExp, strOutput Set objRegExp = New Regexp  objRegExp.IgnoreCase = True objRegExp.Global = True objRegExp.Pattern = “<...
php过滤HTML标签、属性等正则表达式汇总
10-25
主要介绍了php过滤HTML标签、属性等正则表达式汇总,本文使用代码实例给出了过滤HTML内容的正则表达式,具体说明请参阅代码中的注释,本文对使用PHP做采集的朋友有比较大的作用,需要的朋友可以参考下
php过滤危险html代码
02-07
<? function uh($str) { $farr = array( "/\s+/", //过滤多余的空白 "/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/isU", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤 "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU", //过滤javascript的on事件 ); $tarr = array( " ", "<\\1\\2\\3>", //如果要直接清除不安全的标签,这里可以留空 "\\1\\2", ); $str = preg_replace( $farr,$tarr,$str); return $str; } ?>
javascript正则表达式实现输入内容过滤
02-26
javascript正则表达式实现输入内容过滤
javascript过滤危险脚本方法.docx
01-19
javascript过滤危险脚本方法.docx
正则表达式preg_replace中危险的/e修饰符带来的安全漏洞问题
weixin_30284355的博客
08-21 440
mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) /e 修饰符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在...
如何用正则表达式过滤html中所有script标签
jiaonizuoren的博客
04-23 7151
正则表达式过滤html中所有Script 的方法: 1、定义正则表达式: /<script\b[^<]*(?:(?!<\/script>)<[^<]*)*<\/script>/gi2、用正则表达式处理script的方法如下: <html> <head> <!--此处引入script脚本用于测试开始--> &lt...
过滤html代码方法
wyl232
06-09 245
public static String Html2Text(String inputString) { String htmlStr = inputString; // 含html标签的字符串 String textStr = ""; java.util.regex.Pattern p_script; java.util.regex.Matcher m_script; ...
渗透测试之正则过滤
weixin_33834628的博客
08-05 146
.使用正则表达式过滤传入的参数 正则表达式: “^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$” 判断是否匹配: 检测SQL meta-characters的正则表达式 : /(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix 修正检测SQL meta-characters的正则表达式 :/((\%3D)|(=))[^\n]*...
c# 正则表达式 html标签,C#使用正则表达式过滤html标签
最新发布
06-02
你可以使用以下正则表达式过滤 HTML 标签: ```csharp string htmlString = "<p>This is a <b>sample</b> HTML string.</p>"; string noHtmlString = Regex.Replace(htmlString, @"<[^>]+>| ", "").Trim(); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值