Asp.Net预防XSS攻击

已于 2023-08-22 16:12:05 修改
阅读量344 收藏
点赞数 4
分类专栏: Asp.Net专栏 文章标签: asp.net xss 后端
于 2023-08-22 16:04:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37636786/article/details/132429727
版权

使用Global.asax的Application_BeginRequest事件过滤

在网站目录下创建一个XSSFilter类,主要依靠StrRegex这个正则去进行过滤匹配。

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Text.RegularExpressions;

/// <summary>
///XSSFilter 的摘要说明
/// </summary>
public class XSSFilter
{
    public XSSFilter() { }

    private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
    public static bool PostData()
    {
        bool result = false;
        try
        {
            for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
            {
                result = CheckData(HttpContext.Current.Request.Form[i].ToString());
                if (result)
                {
                    break;
                }
            }
        }
        catch (HttpRequestValidationException ex)
        {
            return true;
        }
        return result;
    }

    public static bool GetData()
    {
        bool result = false;
        try
        {
            for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
            {
                result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());
                if (result)
                {
                    break;
                }
            }
        }
        catch (HttpRequestValidationException ex)
        {
            return true;
        }
        return result;
    }

    public static bool CookieData()
    {
        bool result = false;
        try
        {
            for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
            {
                result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
                if (result)
                {
                    break;
                }
            }
        }
        catch (HttpRequestValidationException ex)
        {
            return true;
        }
        return result;

    }

    public static bool referer()
    {
        bool result = false;
        return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
    }

    public static bool CheckData(string inputData)
    {
        if (Regex.IsMatch(inputData, StrRegex))
        {
            return true;
        }
        else
        {
            return false;
        }
    }
}

在Global.asax的Application_BeginRequest事件中添加如下代码,出现异常会跳转到错误页面。

void Application_BeginRequest(object sender, EventArgs e)
    {
        if (Request.Cookies != null)
        {
            if (XSSFilter.CookieData())
            {
                Response.Write("您提交的Cookie数据有恶意字符!");
                Response.End();
            }
        }
        if (Request.UrlReferrer != null)
        {
            if (XSSFilter.referer())
            {
                Response.Write("您提交的Referrer数据有恶意字符!");
                Response.End();
            }
        }
        if (Request.RequestType.ToUpper() == "POST")
        {
            if (XSSFilter.PostData())
            {
                Response.Write("您提交的Post数据有恶意字符!");
                Response.End();
            }
        }
        if (Request.RequestType.ToUpper() == "GET")
        {
            if (XSSFilter.GetData())
            {
                Response.Write("您提交的Get数据有恶意字符!");
                Response.End();
            }
        }
    }
弹吉他的程序猿
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
XSS 攻击的实现
weixin_58207509的博客
12-10 643
XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后
ASP.Net防范XSS漏洞攻击的利器HtmlSanitizer
dotNET跨平台
05-05 3988
项目名称:HtmlSanitizer NuGet安装指令:Install-Package HtmlSanitizer 官方网站:https://github.com/mganss/HtmlSanitizer  开源协议:MIT 可靠程度:更新活跃,目前已经是3.x版,成熟靠谱。   1、  什么是XSS漏洞? XSS漏洞又称为“跨站脚本”漏洞,指的是网站对于用户输入的内容不加甄别的原
ASP.NET防止SQL注入的方法示例
01-20
本文实例讲述了ASP.NET防止SQL注入的方法。分享给大家供大家参考,具体如下: 最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数法防注入呢我就用不着了。只能用传统的笨一点的办法了。 1、新建Global.asax文件。 2、加入如下代码: void Application_BeginRequest(object sender, EventArgs e) { bool result = false; if (Request.RequestType.ToUpper() == POST) { //post方式的我就不写了。
XSS过滤器Filter实现全过程
热门推荐
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
asp.net core中间件预防防止xss攻击
最新发布
qq_36437991的博客
10-08 399
asp.net core防止xss攻击的一种实现方式
[Asp.Net Core] 网站中的XSS跨站脚本攻击和防范
2201_75761617的博客
08-07 424
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(html、javascript、css等),当用户浏览该页面时,嵌入其中的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。将危险内容过滤去除,用HTML转义字符串(Escape Sequence)表达的则保留。再次请求时,已将危险代码转成HTML转义字符串的形式。
Asp.net安全架构之1:xss(跨站脚本)
weixin_34419321的博客
05-22 361
原理跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cooki...
有关ASP.NET中跨站点脚本(XSS预防的绝对入门教程
04-11
ASP.NET框架下,了解并防范XSS攻击对于开发安全的Web应用至关重要。 首先,我们要理解XSS的类型。XSS通常分为三种:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意代码的链接来触发,而...
XSS攻击实例1
01-11
在本实例"XSS攻击实例1"中,我们将探讨这种攻击的原理、类型以及如何在Asp.net框架下预防XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过诱使用户点击含有恶意参数的链接,将脚本插入到...
c# asp.net
10-11
10. **安全最佳实践**:包括SQL注入防护、XSS攻击预防、CSRF(跨站请求伪造)防范等,确保应用的安全性。 以上就是围绕"C# asp.net"和"通过权限角色管理实现信息安全化管理"主题展开的知识点详解,涵盖了从基础概念...
asp.net实现网易盖楼回复
10-20
在实际开发过程中,还需要考虑到性能优化、安全性(如SQL注入防护、XSS攻击预防)等方面,确保应用的健壮性和安全性。此外,随着前端技术的发展,现代Web应用更多地采用SPA(单页应用)模式,如使用Angular或React...
C#防SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位。   下面说下网站防注入的几点要素。   一:丢弃SQL语句直接拼接,虽然这个写起来很快很方便。   二:如果用SQL语句,那就使用参数化,添加Param   三:尽可能的使用存储过程,安全性能高而且处理速度也快   四:屏蔽SQL,javascript等注入(很是主要的),对于每个文件写是不太可能的。所以要找到对所有文件起作用的办法。我在网上收集了以下3种方法   C#防SQL注入方法一   在Web.config文件中
基于ASP.net的信息化管理系统源码.zip
08-28
开发者还需要关注SQL注入、跨站脚本攻击(XSS)等常见安全问题,并采取相应的预防措施。 【部署与维护】 完成开发后,ASP.NET应用可以通过IIS(Internet Information Services)服务器进行部署。ASP.NET也支持自动...
asp.net request防sql注入_安全漏洞大揭秘:手把手教你轻松防止SQL注入
weixin_39906878的博客
11-16 592
安全漏洞大揭秘:手把手教你轻松防止SQL注入!SQL(结构化查询语言)注入是众所周知的软件弱点和安全漏洞,如果不是的话,也是最出名的漏洞之一。尽管享有盛名,但如何防止SQL注入仍然是主要漏洞之一,并且攻击持续增长。查找SQL注入根据OWASP Top 10,注入漏洞(其中SQL注入是其中一种)是Web应用程序安全性的头号问题。SQL注入在CWE Top 25中排名第六。其他类型的安全漏洞示例包括:...
.NET MVC使用HtmlSanitizer过滤XSS攻击
fly_duck的博客
10-28 3337
什么是XSS 通过“HTML注入”篡改了网页,插入了恶意脚本,从而在用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。XSS属于客户端代码注入,通常注入代码是JavaScript。区别于命令注入,SQL注入属于服务端代码注入。 为什么要过滤XSS 最近接到维护性项目,客户反馈网站的富文本编辑器中图片无法保存,通过排除发现是客户的服务器最近设置了XSS拦截,导致带有标签<im...
DOM-based XSS攻击实现方法及如何预防教程
2301_76418831的博客
05-03 554
DOM-based XSS攻击是一种基于文档对象模型(DOM)的跨站脚本攻击。它利用了客户端脚本在解析页面时修改文档内容的能力。攻击者可以在客户端构造恶意URL,当用户访问该URL时,脚本会在用户浏览器中执行并污染当前文档对象,从而窃取用户敏感信息或者进行其他恶意行为。
Asp.net防御XSS攻击组件库
weixin_34390105的博客
04-27 868
一、AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下。 目前类库已融入到.netframework中,类库主页不再更新。 使用方法:使用Nuget,搜索AntiXss 在项目中添加命名空间引用:using Microsoft.Security.Application; 示例代码: string xssstr="&lt...
asp.net mvc 过滤XSS跨站脚本攻击
冻死的企鹅
08-12 1110
asp.net mvc 过滤跨站点脚本攻击拦截器 using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Text.RegularExpressions; using System.Web; namespace Org.Core.Commons { /// /// http访问拦截器模块 /// 1.过滤危险关键词 /// 2.增加安全Header
后端防止xss攻击两种方法
Koikoi12的博客
12-13 7212
一.写filter 新增 XssFilter 拦截用户提交的参数,进行相关的转义和黑名单排除,完成相关的业务逻辑。在整个过程中最核心的是通过包装用户的原始请求,创建新的 requestwrapper 保证请求流在后边的流程可以重复读。 1、使用spring的HtmlUtils,可以使用StringEscapeUtils 中的过滤方法 /** * 解决XSS跨站脚本攻击和sql注入攻击,使用spring的HtmlUtils,可以使用StringEscapeUtils 中的过滤方法 */ public c
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值