利用正则表达式过滤脚本

最新推荐文章于 2019-04-23 10:04:20 发布
最新推荐文章于 2019-04-23 10:04:20 发布
阅读量402 收藏
点赞数
分类专栏: asp.net笔记 文章标签: 正则表达式 html regex javascript 脚本 iframe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/learnren/article/details/4038040
版权

 

在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。  
当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。  
我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例:  
1. <script>标记中包含的代码  
2. <a href=javascript:...中的代码  
3. 其它基本控件的 on...事件中的代码  
4. iframe 和 frameset 中载入其它页面造成的攻击  
有了这些资料后,事情就简单多了,写一个简单的方法,用正则表达式把以上符合几点的代码替换掉:  
public string wipescript(string html)  
{  
system.text.regularexpressions.regex regex1 = new system.text.regularexpressions.regex(@"<script[/s/s]+</script *>",system.text.regularexpressions.regexoptions.ignorecase);  
system.text.regularexpressions.regex regex2 = new system.text.regularexpressions.regex(@" href *= *[/s/s]*script *:",system.text.regularexpressions.regexoptions.ignorecase);  
system.text.regularexpressions.regex regex3 = new system.text.regularexpressions.regex(@" on[/s/s]*=",system.text.regularexpressions.regexoptions.ignorecase);  
system.text.regularexpressions.regex regex4 = new system.text.regularexpressions.regex(@"<iframe[/s/s]+</iframe *>",system.text.regularexpressions.regexoptions.ignorecase);  
system.text.regularexpressions.regex regex5 = new system.text.regularexpressions.regex(@"<frameset[/s/s]+</frameset *>",system.text.regularexpressions.regexoptions.ignorecase);  
html = regex1.replace(html, ""); //过滤<script></script>标记  
html = regex2.replace(html, ""); //过滤href=javascript: (<a>) 属性  
html = regex3.replace(html, " _disibledevent="); //过滤其它控件的on...事件  
html = regex4.replace(html, ""); //过滤iframe  
html = regex5.replace(html, ""); //过滤frameset  
return html;  
}  
此方法输入可能包含脚本的html代码,返回则就是干净的代码了。 

此文为转载,http://www.cncfan.com/cncfan_com_article.asp?art_id=6430&cat_id=80

learnren
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
正则表达式 正则表达式过滤脚本的一些研究
08-01
师傅花一年时间收集的正则表达试。现在奉献给大家!正则表达式过滤脚本的一些研究(asp.net+C#)在做一些网站(特别是BBS之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 HtmlEncode 和 HtmlDecode 方法,因为这样连基本html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例:
正则表达式过滤脚本的一些研究(asp.net + C#)
.NET大观
05-25 1205
在做一些网站(特别是BBS之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 HtmlEncode 和 HtmlDecode 方法,因为这样连基本html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例: 1. 标记中包含的代码 2. 3. 其它基本控件的 on...事件中的代码 4.
过滤脚本注入和SQL注入字符
热门推荐
希望能找到你的答案
03-05 12万+
#region RemoveUnsafeString 过滤脚本注入和SQL注入字符 /// &lt;summary&gt; /// 过滤脚本注入和SQL注入字符 /// &lt;/summary&gt; /// &lt;param name="targetString"&gt;目标字符串&lt;/param&gt; ...
如何用正则表达式过滤html中所有script标签
jiaonizuoren的博客
04-23 7233
正则表达式过滤html中所有Script 的方法: 1、定义正则表达式: /<script\b[^<]*(?:(?!<\/script>)<[^<]*)*<\/script>/gi2、用正则表达式处理script的方法如下: <html> <head> <!--此处引入script脚本用于测试开始--> &lt...
ASP正则表达式技巧
10-30
2. **数据清洗**:在大量文本数据中,使用正则表达式过滤掉无效或不需要的部分。 3. **搜索引擎**:在文本搜索功能中,利用正则表达式进行精确或模糊匹配。 4. **日志分析**:通过对日志文件中的特定模式进行匹配,...
正则表达式
06-13
9. **正则表达式测试工具**:利用在线正则表达式测试工具(如Regex101或RegExr)可以帮助开发者调试和测试正则表达式,确保它们按预期工作。 10. **性能优化**:对于大型HTML文档,正则表达式可能不是最高效的解决...
PHP利用正则过滤掉js脚本代码
最新发布
05-31
PHP利用正则过滤掉js脚本代码 一、 开发环境 1、环境搭建:Windows 7+Apache 2.4.18+MySQL 5.7.11+PHP 7.1.0。 2、文本编辑器:Sublime 3。 二、主要技术 本案例主要在PHP中使用正则表达式来实现过滤JavaScript...
Python使用正则表达式去除(过滤)HTML标签提取文字功能
10-16
本篇文章主要探讨了如何利用正则表达式去除HTML标签并提取文本内容。这在数据清洗、网页抓取等领域非常常见,因为原始HTML源码中通常包含了大量格式化标签,而我们可能只关心纯文本信息。 首先,我们需要导入Python...
js的正则表达式过滤非法字符
ru_li的专栏
07-19 1万+
在录入数据时,因要对一些记录提示必须输入,通过alert提示其必须输入的记录,但这样会出现对非法字符过滤不严,导致XSS。 如该记录“”名称“必须填写,否则无法提交,那么我在js中通过以下函数实现其必须填写该名称,为了过滤一些非法字符,可以通过js的正则表达式来实现,如下所示:当输入的内容包含有正则表达式的内容时,就会提示含有非法字符。 if(informationForm.name.va
C#基础回顾:正则表达式
weixin_34210740的博客
06-03 260
      写在前面:本文根据笔者的学习体会结合相关书籍资料对正则表达式的语法和使用(C#)进行基本的介绍。适用于初学者。       摘要:正则表达式(Regular Expressions),相信做软件开发的朋友或多或少都对其有所了解,但是你是否可以用其来解决一些问题呢?本文将带着读者从基本的正则语法入手,先向大家展示语法的全貌,然后通过实例演示来对部分语法进行详细介绍。并在结尾给出一些综合...
fckeditor2.6.3 上传图片停留在进度条解决 以及所想到
learnren的专栏
04-16 2590
做了一个文章系统,使用的fckeditor2.6.3,本地测试上传图片一切正常,放在服务器上,加一个域名再上传图片时发现,图片能上传到服务器,但是编辑器的进度条一直停留在那,没有反应。首先,想到的是是不是配置有问题,把配置看了半天,而且上网查了半天,没有问题。真有点气急败坏。这是在网上搜到一篇文章,照着做果然解决了……原文如下: 最近有个项目用到FCKEditor,载了目前最新版的2
获取使用母版页的页面中的控件
learnren的专栏
04-15 2523
获取使用模板页的页面中的控件,首先需要获取母版页的相应占位符(ContentPlaceHolder),然后再从该占位符中获取相应空间。 如今天做一个跨页传递参数的搜索时,就用到了: if (Page.PreviousPage != null) { ContentPlaceHolder mycontentholder = (ContentPla
asp.net中checked和unchecked
learnren的专栏
03-31 890
  checked和unchecked操作符用于整型算术运算时控制当前环境中的溢出检查。下列运算参与了checked和unchecked检查(操作数均为整数):  1)  预定义的++和――一元运算符。  2)  预定义的-一元运算符。  3)  预定义的+、-、×、/等二元操作符。  4)  从一种整型到另一种整型的显示数据转换。  当上述整型运算产生一个目标类型无法表示的大
使用三目运算符:绑定控件内容时的自动判断
learnren的专栏
04-14 641
真是很傻,看来还是很菜的啊。今天想做一个显示文章摘要,就是如果文章摘要字数大于50则只显示前50个字,如果不大于则全部显示。想在页面上加代码,不想在后台进行操作了。傻乎乎的去论坛提问。有位好心人回答了:= 50 ? Eval("LR_ArticleIntro").ToString().Substring(0,50):Eval("LR_ArticleIntro").ToString()%>>
使用defaultbutton控制回车键的响应按钮
learnren的专栏
04-02 598
当一个页面有很多按钮时,页面默认按回车键响应第一个按钮的单击事件。在表单中设置defaultbutton的id,就可以使回车事件对应到想要使用的默认按钮上。
自己改进的生成验证码的方法
learnren的专栏
03-31 510
     #region 生成指定位数的随机数    ///     /// 生成指定位数的随机数    ///     /// 随机数的位数    /// 返回一个随机数字符串    private static string RndNum(int VcodeNum)    {        string Vchar = "1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值