asp.net core中间件预防防止xss攻击

已于 2024-05-09 13:45:06 修改
阅读量438 收藏 2
点赞数
分类专栏: dotnet 文章标签: asp.net xss 后端
于 2023-10-08 17:24:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36437991/article/details/133686465
版权 
using System;
using System.Text.Json;
using System.Text.Json.Serialization;

namespace CommonUtils
{
    /// <summary>
    /// newtonsoft的转化器
    /// 防止xss攻击
    /// </summary>
    public class AntiXssNewtonsoftConverter : Newtonsoft.Json.JsonConverter<string>
    {
        /// <summary>
        /// 读取的时候
        /// 就是输入的时候进行处理
        /// </summary>
        /// <param name="reader"></param>
        /// <param name="objectType"></param>
        /// <param name="existingValue"></param>
        /// <param name="hasExistingValue"></param>
        /// <param name="serializer"></param>
        /// <returns></returns>
        public override string ReadJson(Newtonsoft.Json.JsonReader reader, Type objectType, string existingValue, bool hasExistingValue, Newtonsoft.Json.JsonSerializer serializer)
        {
            //多次解码无影响,防止输出的时候多次编码导致字符串乱码
            var res = System.Web.HttpUtility.HtmlDecode(reader.Value.ToString());
            //进行编码
            res = System.Web.HttpUtility.HtmlEncode(res);
            return res;
        }

        /// <summary>
        /// 写出的时候
        /// 也可以在写出的时候进行,这里演示的写入的时候,到时候反过来就行了
        /// </summary>
        /// <param name="writer"></param>
        /// <param name="value"></param>
        /// <param name="serializer"></param>
        public override void WriteJson(Newtonsoft.Json.JsonWriter writer, string value, Newtonsoft.Json.JsonSerializer serializer)
        {
            writer.WriteValue(value);
        }
        /*
        全局使用
       services.AddControllers()
       .AddNewtonsoftJson(options=>
       {
           options.SerializerSettings.Converters.Add(new AntiXssSystemTextConverter());
       });
       某个属性使用
       [JsonConverter(typeof(AntiXssNewtonsoftConverter))]
       public string? Id { get; set; }
        */
    }

    /// <summary>
    /// system.text.json转化器
    /// 原理同newtonsoft,主要是看web项目使用的是那个json序列化工具
    /// </summary>
    public class AntiXssSystemTextConverter : JsonConverter<string>
    {
        /// <summary>
        /// 读取的时候
        /// </summary>
        /// <param name="reader"></param>
        /// <param name="typeToConvert"></param>
        /// <param name="options"></param>
        /// <returns></returns>
        /// <exception cref="NotImplementedException"></exception>
        public override string Read(ref Utf8JsonReader reader, Type typeToConvert, JsonSerializerOptions options)
        {
            //多次解码无影响,防止输出的时候多次编码导致字符串乱码
            var res = System.Web.HttpUtility.HtmlDecode(reader.GetString());
            //进行编码
            res = System.Web.HttpUtility.HtmlEncode(res);
            return res;
        }

        /// <summary>
        /// 写出的时候
        /// </summary>
        /// <param name="writer"></param>
        /// <param name="value"></param>
        /// <param name="options"></param>
        /// <exception cref="NotImplementedException"></exception>
        public override void Write(Utf8JsonWriter writer, string value, JsonSerializerOptions options)
        {
            writer.WriteStringValue(value);
        }
        /*
         全局使用
        services.AddControllers()
        .AddJsonOptions(options=>
        {
            options.JsonSerializerOptions.Converters.Add(new AntiXssSystemTextConverter());
        });
        某个属性使用
        [JsonConverter(typeof(AntiXssSystemTextConverter))]
        public string? Id { get; set; }
         */
    }
}

上面实现思路是针对json序列化后的string字符串进行编码防止xss攻击,URL、汉字等都不会被编码,只处理>和<等Html的特殊字符
其他实现比如中间件、Action的AOP方法也是可以的,可以自己实现
上面只是针对html,具体的js的没处理,因为这个不太好识别不过可以都统一处理,然后加载的时候还原一下

public class HomeController : Controller
{
    HtmlEncoder _htmlEncoder;
    JavaScriptEncoder _javaScriptEncoder;
    UrlEncoder _urlEncoder;

    public HomeController(HtmlEncoder htmlEncoder,
                          JavaScriptEncoder javascriptEncoder,
                          UrlEncoder urlEncoder)
    {
        _htmlEncoder = htmlEncoder;
        _javaScriptEncoder = javascriptEncoder;
        _urlEncoder = urlEncoder;
    }
}

主要是看web项目使用的是那个json序列化工具newtonsoft就用newtonsoft,system.text.json就用下面的那个

参考

假装我不帅
关注
专栏目录
ASP.NetXSS漏洞攻击的利器HtmlSanitizer
dotNET跨平台
05-05 4042
项目名称:HtmlSanitizer NuGet安装指令:Install-Package HtmlSanitizer 官方网站:https://github.com/mganss/HtmlSanitizer  开源协议:MIT 可靠程度:更新活跃,目前已经是3.x版,成熟靠谱。   1、  什么是XSS漏洞? XSS漏洞又称为“跨站脚本”漏洞,指的是网站对于用户输入的内容不加甄别的原
ASP.NET Core中如何利用Csp标头对抗Xss攻击
10-16
ASP.NET Core中,XSS(跨站脚本)攻击是一种常见的安全威胁,它允许攻击者在用户浏览器中执行恶意脚本。为了对抗这种威胁,开发者可以利用Content Security Policy(CSP)标头,这是一种安全机制,用于规定网页上...
在.NET Core Web API中防止XSS
寒冰屋的专栏
06-06 1389
在这篇文章中,您将看到一个关于如何(积极地)在您的API中XSS的建议。 你猜怎么着?如果您正在开发一个ASP.NET Web API项目并且没有采取措施来保护它免受XSS(跨站点脚本)的侵害,那么不幸的是,您手上有一个安全漏洞。...
Asp.net安全架构之1:xss(跨站脚本)
weixin_34419321的博客
05-22 392
原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cooki...
Asp.Net预防XSS攻击
qq_37636786的博客
08-22 396
在网站目录下创建一个XSSFilter类2.在Global.asax的Application_BeginRequest事件中添加如下代码。在Global.asax的Application_BeginRequest事件中添加如下代码,出现异常会跳转到错误页面。
.Net Core XSS攻击
最新发布
csdn_aspnet的专栏
12-29 3万+
网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。常见的XSS攻击有三种:反射型XSS攻击、DOM-based型XSS攻击、存储型XSS攻击
详解ASP.NET Core Token认证
10-20
对于移动应用,使用HTTP头更常见,而对于Web应用,为了防止跨站脚本攻击(XSS),建议使用HTML5存储或Cookie,但需谨慎处理Cookie以防止CSRF攻击。 **ASP.NET Core中的JWT验证** 在ASP.NET Core中,JWT验证主要通过...
基于 .NET CoreASP.NET Core 开发的支付SDK集.zip
06-06
2. **ASP.NET Core**:学习ASP.NET Core的MVC(模型-视图-控制器)模式、路由、中间件、身份验证和授权机制,以及如何使用Kestrel服务器构建RESTful API。 3. **支付接口开发**:掌握支付接口的规范,如HTTP请求、...
ASP.NET Core in Action 2018
06-20
此外,还会讨论如何保护敏感数据和防止跨站脚本攻击(XSS)等安全问题。 9. 性能优化:ASP.NET Core设计时就考虑了性能,书中会讲解如何利用缓存、异步编程、最小化响应时间和减少内存消耗来提高应用性能。 10. ...
毕业设计:基于react+asp.net core开发的单点登录系统.zip
10-11
7. **安全考虑**:SSO系统对安全性有很高要求,包括数据传输加密、防止CSRF(跨站请求伪造)和XSS(跨站脚本攻击)等。开发者需要了解并实施最佳安全实践,如使用HTTPS、设置CSRF令牌、对敏感信息进行哈希和加盐等。...
有关ASP.NET中跨站点脚本(XSS预防的绝对入门教程
04-11
在本文中,我们将尝试了解什么是跨站点脚本(XSS)。
ASP.NET Core中使用Csp标头对抗Xss攻击
qq_39110534的博客
09-04 473
内容安全策略(CSP)是一个增加的安全层,可帮助检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到站点破坏或恶意软件分发的所有内容(深入CSP) 简而言之,CSP是网页控制允许加载哪些资源的一种方式。例如,页面可以显式声明允许从中加载JavaScript,CSS和图像资源。这有助于防止跨站点脚本(XSS)攻击等问题。 它也可用于限制协议...
[Asp.Net Core] 网站中的XSS跨站脚本攻击和
2201_75761617的博客
08-07 449
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(html、javascript、css等),当用户浏览该页面时,嵌入其中的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。将危险内容过滤去除,用HTML转义字符串(Escape Sequence)表达的则保留。再次请求时,已将危险代码转成HTML转义字符串的形式。
Asp.netXSS攻击组件库
weixin_34390105的博客
04-27 887
一、AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXssXSS攻击,收集资料看下。 目前类库已融入到.netframework中,类库主页不再更新。 使用方法:使用Nuget,搜索AntiXss 在项目中添加命名空间引用:using Microsoft.Security.Application; 示例代码: string xssstr="&lt...
ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)
weixin_30781775的博客
12-11 262
不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/2017/10/25/owasp-top-10-asp-net-core-cross-site-scripting-xss/ 在这篇文章的前几次迭代中,我用了一个很长的篇幅解释了什么是跨站脚本(X...
ASP.NETXSS跨站攻击
dianda6073的专栏
05-30 500
目前做ASP.NET项目的时候就有遇到过“用户代码未处理HttpRequestValidationException:从客户端***中检测到有潜在危险的 Request.Form/Request.QueryString值。”的问题,其实这是ASP.NET对于XSS攻击的一种御手段,防止恶意的HTML标记或脚本数据注入到网站中。 遇到这种问题,我百度了一下,看了大神写的博客,于是转载+...
net core xss×××
weixin_34390996的博客
07-12 145
XSS×××全称跨站脚本×××,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本×××缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 比如我们在表单提交的时候插入脚本代码 如果不进行处理,那么就是这种效果,我这里只是演示一个简单的弹窗 下面给大家分享一下我的解决方案。 需要用...
如何让Asp.net Web Api全局预防Xss攻击
weixin_30911451的博客
08-18 602
一、概述 二、什么是XSS 三、预防方法 四、在WebApi中如何实现   在实现之前,需要了解ASP.NET WEB API的pipeline机制。 如上,可以采用多种方式进行参数的过滤 1、重写DelegatingHandler的SendAsync方法进行过滤,结合AntiXss类库实现 using System; using System.Collect...
.NET中使用HtmlSanitizer来有效的XSS攻击
What If...
06-13 1791
一个.NET开源库HtmlSanitizer,它是一个用于清理HTML内容的类,可以帮助开发人员防止跨站脚本攻击(XSS)等网络安全漏洞。它提供了一种简单而有效的方式来确保用户输入的HTML内容是安全的,从而防止恶意代码注入到应用程序中。
使用ASP.NET和SQL Server构建高性能可扩展网站
7. **ASP.NET最新特性**:如果出版日期较新,书里可能包含了ASP.NET的最新版本(如ASP.NET Core)的相关特性,如跨平台支持、Kestrel web服务器、中间件等。 8. **安全与最佳实践**:网络安全是任何网站都需要考虑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

假装我不帅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值