ASP.NET 下 XSS 跨站脚本攻击的过滤方法

最新推荐文章于 2024-06-30 08:00:00 发布
最新推荐文章于 2024-06-30 08:00:00 发布
阅读量1.1w 收藏 4
点赞数 2
分类专栏: 代码发布 技术心得 文章标签: AntiSamy asp.net ASP.NET Asp.Net java Java JAVA webservice WebService Xss跨站脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxfan/article/details/8162257
版权
防止跨站脚本攻击(XSS)对于WEB开发至关重要,特别是涉及用户自定义内容的平台。文章介绍了如何在ASP.NET下利用基于Java的AntiSamy库来实现既能保留HTML内容,又能确保安全的过滤方法。由于.NET下的Xss过滤工具过于严格,作者将Java版的AntiSamy封装为WebService,并提供了源码和WAR包的下载链接,以便在TOMCAT 7和JDK 1.6环境下运行。通过这个WebService,ASP.NET应用可以调用过滤功能,并通过修改antisamy-config.xml配置文件来调整过滤规则。
摘要由CSDN通过智能技术生成

做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。

有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。

在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将:

<span style="color:red">文字</span>

过滤成

<span>文字</span>

而另外一些,虽然保留了很多元素,但是会有很多安全隐患,比如无法过滤这样的跨站脚本攻击: 

<div style="background-image:url(alert('xss'))">文字</div>
<img src="alert('xss too')" />

在 .net 环境下,始终找不到成熟合适的 XSS 过滤工具。

后来在找到了基于 java 开发的 AntiSamy,完全符合既保留用户输入HTML,又能保证安全的过滤工具。AntiSamy是基于白名单的技术,即只保留安全的内容,而且白名单可以让开发者进行配置。虽然AntiSamy也有.net版本,但是那是一个半成品,惨不忍

最低0.47元/天 解锁文章
7ero
关注
专栏目录
asp-xss-filter:ASP-XSS-过滤器
06-30
asp-xss-filter This is classical ASP, not ASP.NET!!!! 这是经典ASP,不是ASP.NET!!!! Transplanted from (由项目移植) Although it is written by JScript, but can also be used in VBScript.(虽然它是由JScript写的,但是在VBScript里也可以正常调用。) Install In Windows, run build.vbs, then you will get 2 files in dist. Copy the file that you need to your projects, then include it. 在Windows下,双击build.vbs,然后你会在dist目录里得到两个文件。复制你需要的文件到你的项目内,引用即
.net 跨站脚本攻击XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 7938
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
ASP.NET Core MVC 中防止 XSS 攻击
最新发布
技术探索驿站
06-30 552
跨站点脚本 (XSS) 攻击是一种严重的安全威胁,恶意脚本会注入其他用户查看的网页中。本文演示了如何在 ASP.NET Core MVC 中构建一个简单的博客应用程序,同时使用内置安全功能和最佳实践来防止 XSS 攻击。
asp.net mvc 过滤XSS跨站脚本攻击
冻死的企鹅
08-12 1124
asp.net mvc 过滤跨站点脚本攻击拦截器 using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Text.RegularExpressions; using System.Web; namespace Org.Core.Commons { /// /// http访问拦截器模块 /// 1.过滤危险关键词 /// 2.增加安全Header
用正则表达式过滤脚本的一些研究(asp.net + C#)
.NET大观
05-25 1214
在做一些网站(特别是BBS之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 HtmlEncode 和 HtmlDecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例: 1. 标记中包含的代码 2. 3. 其它基本控件的 on...事件中的代码 4.
Asp.net Mvc中利用ValidationAttribute实现xss过滤
mituan1234567的专栏
06-11 499
http://www.2cto.com/kf/201404/293640.html 在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦发现提交的数据中包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这种默认的行为保证了网
解析如何防止XSS跨站脚本攻击
jazywoo_在路上
11-08 1379
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。 不可信数据 不可信数据通常是来自HTTP请求的数据,以URL参数、表单字段、标头或者Cookie的形式。不过从安全角度来看,来自数据库、网络
.NET MVC使用HtmlSanitizer过滤XSS攻击
fly_duck的博客
10-28 3459
什么是XSS 通过“HTML注入”篡改了网页,插入了恶意脚本,从而在用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。XSS属于客户端代码注入,通常注入代码是JavaScript。区别于命令注入,SQL注入属于服务端代码注入。 为什么要过滤XSS 最近接到维护性项目,客户反馈网站的富文本编辑器中图片无法保存,通过排除发现是客户的服务器最近设置了XSS拦截,导致带有标签<im...
谈谈ASP.NET Core MVC中预防跨站脚本攻击xss)与跨站请求伪造(CSRF)
覃鸿宇的博客
02-28 1332
XSS Cross-Site Scripting 跨站脚本攻击:攻击者将客户端脚本注入到其他用户查看的网页中。 不被信任的数据: • HTML input • HTTP Headers • Query strings • Attributes,EXIF 信息 防止 XSS • HTML Encoding:> 变成 > < 变成 < • Razor 默认开启了 HTML...
.net core xss攻击防御的方法
10-18
首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意代码会执行,可能导致用户信息泄露、账户被劫持等一系列安全...
javascript过滤XSS
05-06
javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
XSS 攻击全称为跨站脚本攻击,它是一种在 Web 应用中的计算机安全漏洞。XSS 攻击允许恶意用户将代码植入到提供给其他用户使用的页面中,从而导致安全漏洞。 二、使用 HtmlSanitizer 库防御 XSS 攻击 HtmlSanitizer...
11.2:.NET的跨站脚本攻击XSS)和跨站请求伪造(CSRF)防护(课程共5600字,3段代码举例)
小兔子平安
08-16 125
课程为我们提供了全面的知识和实践经验,使我们能够更好地保护应用程序和用户的隐私。通过不断学习和实践,我们可以在.NET应用程序的开发过程中,始终将安全性作为重要的考虑因素,并采取有效的措施来应对不断演变的安全威胁。
ASP.NET(C#)后台安全登陆代码(防XSS攻击\万能密码漏洞)
yanzhibo的专栏IlgawME)Y*Ml
02-22 9247
string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.Text.Trim(); string k8md5pwd = FormsAuthentication.HashP
ASP.NETURL地址防注入过滤问题
dcli98004的博客
08-17 524
首先在Global.asax.cs里面配置一个 提交事件 不用过滤所有的地址 过滤 GET POST的地址就行了 /// <summary> /// 防止sql注入 /// </summary> /// <param name="sender"></param> /// <param name="e"></...
Asp.Net预防XSS攻击
qq_37636786的博客
08-22 379
网站目录下创建一个XSSFilter类2.在Global.asax的Application_BeginRequest事件中添加如下代码。在Global.asax的Application_BeginRequest事件中添加如下代码,出现异常会跳转到错误页面。
.net解决Xss攻击
imherer的博客
09-11 1395
首先要明白什么是Xss攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 数据来源...
asp.net xss过滤
05-25
ASP.NET 中,可以使用 AntiXSS 库来进行 XSS 过滤AntiXSS 库是一个 .NET Framework 库,可帮助开发人员编写安全的代码,以防止跨站点脚本攻击。 以下是在 ASP.NET 中使用 AntiXSS 库进行 XSS 过滤的步骤: 1. 安装 AntiXSS 库。可以在 Visual Studio 中通过 NuGet 包管理器安装 AntiXSS 库。 2. 在代码中引用 AntiXSS 库的命名空间。 ``` using System.Web.Security.AntiXss; ``` 3. 使用 AntiXSS 库的 `GetSafeHtmlFragment` 方法过滤用户输入的 HTML 代码。该方法将删除所有不安全的 HTML 标记并返回一个安全的 HTML 片段。 ``` string userInput = "<script>alert('XSS attack')</script>"; string safeHtml = AntiXss.GetSafeHtmlFragment(userInput); ``` 4. 如果需要过滤用户输入的文本中的特殊字符,可以使用 AntiXSS 库的 `Encode` 方法。该方法将把特殊字符转义为它们的 HTML 实体。 ``` string userInput = "<script>alert('XSS attack')</script>"; string encodedText = AntiXss.HtmlEncode(userInput); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值