asp.net防止XSS(脚本)攻击

最新推荐文章于 2023-08-22 16:04:09 发布
最新推荐文章于 2023-08-22 16:04:09 发布
阅读量4.3k 收藏 5
点赞数 1
分类专栏: asp.net c# 文章标签: asp.net 脚本 vbscript javascript applet html
  1.     /// <summary>   
  2.     /// 过滤xss攻击脚本   
  3.     /// </summary>   
  4.     /// <param name="input">传入字符串</param>   
  5.     /// <returns>过滤后的字符串</returns>   
  6.     public string FilterXSS(string html)   
  7.     {   
  8.         if (string.IsNullOrEmpty(html)) return string.Empty;   
  9.   
  10.         // CR(0a) ,LF(0b) ,TAB(9) 除外,过滤掉所有的不打印出来字符.    
  11.         // 目的防止这样形式的入侵 <java\0script>   
  12.         // 注意:\n, \r,  \t 可能需要单独处理,因为可能会要用到   
  13.         string ret = System.Text.RegularExpressions.Regex.Replace(   
  14.             html, "([\x00-\x08][\x0b-\x0c][\x0e-\x20])", string.Empty);   
  15.   
  16.         //替换所有可能的16进制构建的恶意代码   
  17.         //<IMG SRC=&#X40&#X61&#X76&#X61&#X73&#X63&#X72&#X69&#X70&#X74&#X3A&#X61&_#X6C&#X65&#X72&#X74&#X28&#X27&#X58&#X53&#X53&#X27&#X29>  
  18.         string chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890!@#$%^&*()~`;:?+/={}[]-_|'\"\\"; 
  19.         for (int i = 0; i < chars.Length; i++)  
  20.         {  
  21.             ret = System.Text.RegularExpressions.Regex.Replace(ret, string.Concat("(&#[x|X]0{0,}", Convert.ToString((int)chars[i], 16).ToLower(), ";?)"), 
  22.                 chars[i].ToString(), System.Text.RegularExpressions.RegexOptions.IgnoreCase);             
  23.         }  
  24.  
  25.         //过滤\t, \n, \r构建的恶意代码  
  26.         string[] keywords = {"javascript", "vbscript", "expression", "applet", "meta", "xml", "blink", "link", "style", "script", "embed", "object", "iframe", "frame", "frameset", "ilayer", "layer", "bgsound", "title", "base" 
  27.         ,"onabort", "onactivate", "onafterprint", "onafterupdate", "onbeforeactivate", "onbeforecopy", "onbeforecut", "onbeforedeactivate", "onbeforeeditfocus", "onbeforepaste", "onbeforeprint", "onbeforeunload", "onbeforeupdate", "onblur", "onbounce", "oncellchange", "onchange", "onclick", "oncontextmenu", "oncontrolselect", "oncopy", "oncut", "ondataavailable", "ondatasetchanged", "ondatasetcomplete", "ondblclick", "ondeactivate", "ondrag", "ondragend", "ondragenter", "ondragleave", "ondragover", "ondragstart", "ondrop", "onerror", "onerrorupdate", "onfilterchange", "onfinish", "onfocus", "onfocusin", "onfocusout", "onhelp", "onkeydown", "onkeypress", "onkeyup", "onlayoutcomplete", "onload", "onlosecapture", "onmousedown", "onmouseenter", "onmouseleave", "onmousemove", "onmouseout", "onmouseover", "onmouseup", "onmousewheel", "onmove", "onmoveend", "onmovestart", "onpaste", "onpropertychange", "onreadystatechange", "onreset", "onresize", "onresizeend", "onresizestart", "onrowenter", "onrowexit", "onrowsdelete", "onrowsinserted", "onscroll", "onselect", "onselectionchange", "onselectstart", "onstart", "onstop", "onsubmit", "onunload"}; 
  28.  
  29.         bool found = true;  
  30.         while (found)  
  31.         {  
  32.             var retBefore = ret;  
  33.             for (int i = 0; i < keywords.Length; i++)  
  34.             {  
  35.                 string pattern = "/";  
  36.                 for (int j = 0; j < keywords[i].Length; j++)  
  37.                 {  
  38.                     if (j > 0)  
  39.                         pattern = string.Concat(pattern, '(', "(&#[x|X]0{0,8}([9][a][b]);?)?", "|(&#0{0,8}([9][10][13]);?)?", 
  40.                             ")?");  
  41.                     pattern = string.Concat(pattern, keywords[i][j]); 
  42.                 }  
  43.                 string replacement = string.Concat(keywords[i].Substring(0, 2), "<x>", keywords[i].Substring(2));   
  44.                 ret = System.Text.RegularExpressions.Regex.Replace(ret, pattern, replacement, System.Text.RegularExpressions.RegexOptions.IgnoreCase);   
  45.                 if (ret == retBefore)   
  46.                     found = false;   
  47.             }   
  48.   
  49.         }   
  50.   
  51.         return ret;   
  52.     }  
lbx541575387
关注
专栏目录
ASP.Net防范XSS漏洞攻击的利器HtmlSanitizer
dotNET跨平台
05-05 4047
项目名称:HtmlSanitizer NuGet安装指令:Install-Package HtmlSanitizer 官方网站:https://github.com/mganss/HtmlSanitizer  开源协议:MIT 可靠程度:更新活跃,目前已经是3.x版,成熟靠谱。   1、  什么是XSS漏洞? XSS漏洞又称为“跨站脚本”漏洞,指的是网站对于用户输入的内容不加甄别的原
Asp.net跨站脚本攻击XSS实例分享
每一天都有新的希望
10-10 6963
Asp.net跨站脚本攻击XSS实例分享
Asp.Net预防XSS攻击
最新发布
qq_37636786的博客
08-22 501
在网站目录下创建一个XSSFilter类2.在Global.asax的Application_BeginRequest事件中添加如下代码。在Global.asax的Application_BeginRequest事件中添加如下代码,出现异常会跳转到错误页面。
Asp.net Mvc中利用ValidationAttribute实现xss过滤
djk2045的博客
04-16 395
在网站开发中,需要注意的一个问题就是防范XSS攻击Asp.net mvc中已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦发现提交的数据中包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这种默认的行为保证了网站的安全性,但是对于用户体验来说却不够友好,所以大多数人都希望对...
asp.net中 防范XSS
weixin_30378311的博客
07-25 268
本文只作为备份,可参考:http://www.cnblogs.com/ptwlw/archive/2011/04/04/2005172.html Real World XSS Vulnerabilities in ASP.NET Code http://blogs.msdn.com/b/cisg/archive/2008/09/10/real-world-xss-vulnerabilities...
ASPXSS代码
weixin_30915951的博客
11-10 365
原作是在GitHub上,基于Node.js所写。但是。。ASP的JS引擎跟V8又有些不同。。于是,嗯。。 <% Function AntiXSS_VbsTrim(s) AntiXSS_VbsTrim=Trim(s) End Function %> <script language="javascript" runat="server"> ...
.net core xss攻击防御的方法
10-18
首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意代码会执行,可能导致用户信息泄露、账户被劫持等一系列安全...
ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
XSS 攻击全称为跨站脚本攻击,它是一种在 Web 应用中的计算机安全漏洞。XSS 攻击允许恶意用户将代码植入到提供给其他用户使用的页面中,从而导致安全漏洞。 二、使用 HtmlSanitizer 库防御 XSS 攻击 HtmlSanitizer...
ASP.NET跨站脚本攻击漏洞修补文件aspx版 v1.0
03-16
跨站脚本攻击漏洞修补文件aspx版,使用方法:1.将App_Code目录拷贝到web根目录  假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。  2.将Global.asax文件拷贝到web...
有关ASP.NET中跨站点脚本XSS)预防的绝对入门教程
04-11
ASP.NET框架下,了解并防范XSS攻击对于开发安全的Web应用至关重要。 首先,我们要理解XSS的类型。XSS通常分为三种:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意代码的链接来触发,而...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
预防XSS 正则表达式
weixin_37823121的博客
06-15 3461
var prevent= /^[^`~!#$%^&*+=\\|{};:"',/<>?]*$/; returnprevent.test(str); // 简单粗暴
Asp.net安全架构之1:xss(跨站脚本
weixin_34419321的博客
05-22 392
原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cooki...
ASP.NETXSS 跨站脚本攻击过滤方法
热门推荐
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
ASPXSS注入函数技巧
技术资料收集站
07-11 2425
'************************************* '防XSS注入函数 更新于2009-04-21 by evio '与checkstr()相比, checkxss更加安全 '************************************* Function Checkxss(byVal ChkStr)     Dim Str     Str = C
asp.net mvc api如何过滤xss攻击
yunwu009的专栏
05-25 1132
这里我引用网络上的一些代码,然后我也进行了一些调整,以前在网络上搜到的只支持html字符串类型的过滤,不支持json格式的过滤,代码如下,我就不一一描述了,其实很简单,如果有什么不懂的,可以微信群加入提出讨论 public class XssActionInvoker : ApiControllerActionInvoker { private static readonly ILogger _log = LoggerFactory.Logger; public
ASP.NET XSS 脚本注入攻击
weixin_34221775的博客
11-14 947
输入进行 Html 转码: HttpUtility.HtmlEncode(content); 输入保留 Html 标记,使用 AntiXSS 过滤: Install-Package AntiXSS Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment(content); 本文转自田...
ASP.NET内置安全特性:抵御Web攻击策略
"利用ASP.NET的内置功能抵御Web攻击" ASP.NET作为一款强大的Web开发框架,提供了许多内置功能来帮助开发者增强应用程序的安全性。面对日益增长的Web攻击威胁,如跨站点脚本XSS)、SQL注入、会话劫持等,开发人员...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值