如何防止脚本对前端的影响?

最新推荐文章于 2024-04-29 16:38:02 发布
最新推荐文章于 2024-04-29 16:38:02 发布
阅读量363 收藏
点赞数
分类专栏: 前端开发 全栈工程师 文章标签: 防止脚本攻击

防止脚本对前端的影响

一:如何禁止TextBox输入html标签和脚本?

     /// <summary>
    /// 删除Html标签
    /// </summary>
    /// <param name="text"></param>
    /// <returns></returns>
    public static string ReplaceHtml(string text)
    {
        return Regex.Replace(text, @"<(.[^>]*)>", "", RegexOptions.IgnoreCase);
    }
 
//或者
 
    /// <summary>
    /// 删除文本里的html标签和多余空格
    /// (用在主题或者少量的文字)
    /// </summary>
    /// <param name="html">包含HTML的文本</param>
    /// <returns></returns>
    public static string RemoveHtml(string html)
    {
        System.Text.RegularExpressions.Regex regex1 = new System.Text.RegularExpressions.Regex(@"<script[\s\S]+</script *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex2 = new System.Text.RegularExpressions.Regex(@" href *= *[\s\S]*script *:", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex3 = new System.Text.RegularExpressions.Regex(@" no[\s\S]*=", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex4 = new System.Text.RegularExpressions.Regex(@"<iframe[\s\S]+</iframe *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex5 = new System.Text.RegularExpressions.Regex(@"<frameset[\s\S]+</frameset *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex6 = new System.Text.RegularExpressions.Regex(@"\<img[^\>]+\>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex7 = new System.Text.RegularExpressions.Regex(@"</p>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex8 = new System.Text.RegularExpressions.Regex(@"<p>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex9 = new System.Text.RegularExpressions.Regex(@"<[^>]*>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        html = regex1.Replace(html, ""); //过滤<script></script>标记     
         html = regex2.Replace(html, ""); //过滤href=javascript: (<A>) 属性    
         html = regex3.Replace(html, " _disibledevent="); //过滤其它控件的on...事件 
         html = regex4.Replace(html, ""); //过滤iframe         
        html = regex5.Replace(html, ""); //过滤frameset      
        html = regex6.Replace(html, ""); //过滤frameset     
        html = regex7.Replace(html, ""); //过滤frameset       
        html = regex8.Replace(html, ""); //过滤frameset         
        html = regex9.Replace(html, "");
        html = html.Replace(" ", "");
        html = html.Replace("</strong>", "");
        html = html.Replace("<strong>", "");
        return html;
    }
 
    /// <summary>
    /// 删除文本里的脚本和框架
    /// (保留非危险的html标签,用在文章内容等)
    /// </summary>
    /// <param name="html">包含HTML的文本</param>
    /// <returns></returns>
    public static string RemoveScript(string html)
    {
        System.Text.RegularExpressions.Regex regex1 = new System.Text.RegularExpressions.Regex(@"<script[\s\S]+</script *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex2 = new System.Text.RegularExpressions.Regex(@" href *= *[\s\S]*script *:", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex3 = new System.Text.RegularExpressions.Regex(@" no[\s\S]*=", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex4 = new System.Text.RegularExpressions.Regex(@"<iframe[\s\S]+</iframe *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex5 = new System.Text.RegularExpressions.Regex(@"<frameset[\s\S]+</frameset *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex6 = new System.Text.RegularExpressions.Regex(@"\<img[^\>]+\>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex7 = new System.Text.RegularExpressions.Regex(@"</p>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        System.Text.RegularExpressions.Regex regex8 = new System.Text.RegularExpressions.Regex(@"<p>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
        //   System.Text.RegularExpressions.Regex regex9 = new System.Text.RegularExpressions.Regex(@"<[^>]*>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);   
        html = regex1.Replace(html, ""); //过滤<script></script>标记     
        html = regex2.Replace(html, ""); //过滤href=javascript: (<A>) 属性    
        html = regex3.Replace(html, " _disibledevent="); //过滤其它控件的on...事件 
        html = regex4.Replace(html, ""); //过滤iframe         
        html = regex5.Replace(html, ""); //过滤frameset      
        html = regex6.Replace(html, ""); //过滤frameset     
        html = regex7.Replace(html, ""); //过滤frameset       
        html = regex8.Replace(html, ""); //过滤frameset         
        //  html = regex9.Replace(html, "");  //          
        html = html.Replace(" ", "");
        html = html.Replace("</strong>", "");
        html = html.Replace("<strong>", "");
        return html;
    }

二: 脚本攻击指输入一个恶意脚本到 aspx 页面,造成页面的不正常工作。例如,在留言博中输入:


原	
如何防止脚本攻击
2014年05月09日 10:32:11 编码青年 阅读数:532 标签: 脚本攻击 js脚本攻击 留言板脚本攻击 禁止TextBox输入html标签和脚本 更多
个人分类: Asp.Net

一:如何禁止TextBox输入html标签和脚本?

        /// <summary>
        /// 删除Html标签
        /// </summary>
        /// <param name="text"></param>
        /// <returns></returns>
        public static string ReplaceHtml(string text)
        {
            return Regex.Replace(text, @"<(.[^>]*)>", "", RegexOptions.IgnoreCase);
        }
     
    //或者
     
        /// <summary>
        /// 删除文本里的html标签和多余空格
        /// (用在主题或者少量的文字)
        /// </summary>
        /// <param name="html">包含HTML的文本</param>
        /// <returns></returns>
        public static string RemoveHtml(string html)
        {
            System.Text.RegularExpressions.Regex regex1 = new System.Text.RegularExpressions.Regex(@"<script[\s\S]+</script *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex2 = new System.Text.RegularExpressions.Regex(@" href *= *[\s\S]*script *:", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex3 = new System.Text.RegularExpressions.Regex(@" no[\s\S]*=", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex4 = new System.Text.RegularExpressions.Regex(@"<iframe[\s\S]+</iframe *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex5 = new System.Text.RegularExpressions.Regex(@"<frameset[\s\S]+</frameset *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex6 = new System.Text.RegularExpressions.Regex(@"\<img[^\>]+\>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex7 = new System.Text.RegularExpressions.Regex(@"</p>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex8 = new System.Text.RegularExpressions.Regex(@"<p>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex9 = new System.Text.RegularExpressions.Regex(@"<[^>]*>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            html = regex1.Replace(html, ""); //过滤<script></script>标记     
             html = regex2.Replace(html, ""); //过滤href=javascript: (<A>) 属性    
             html = regex3.Replace(html, " _disibledevent="); //过滤其它控件的on...事件 
             html = regex4.Replace(html, ""); //过滤iframe         
            html = regex5.Replace(html, ""); //过滤frameset      
            html = regex6.Replace(html, ""); //过滤frameset     
            html = regex7.Replace(html, ""); //过滤frameset       
            html = regex8.Replace(html, ""); //过滤frameset         
            html = regex9.Replace(html, "");
            html = html.Replace(" ", "");
            html = html.Replace("</strong>", "");
            html = html.Replace("<strong>", "");
            return html;
        }
     
        /// <summary>
        /// 删除文本里的脚本和框架
        /// (保留非危险的html标签,用在文章内容等)
        /// </summary>
        /// <param name="html">包含HTML的文本</param>
        /// <returns></returns>
        public static string RemoveScript(string html)
        {
            System.Text.RegularExpressions.Regex regex1 = new System.Text.RegularExpressions.Regex(@"<script[\s\S]+</script *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex2 = new System.Text.RegularExpressions.Regex(@" href *= *[\s\S]*script *:", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex3 = new System.Text.RegularExpressions.Regex(@" no[\s\S]*=", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex4 = new System.Text.RegularExpressions.Regex(@"<iframe[\s\S]+</iframe *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex5 = new System.Text.RegularExpressions.Regex(@"<frameset[\s\S]+</frameset *>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex6 = new System.Text.RegularExpressions.Regex(@"\<img[^\>]+\>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex7 = new System.Text.RegularExpressions.Regex(@"</p>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            System.Text.RegularExpressions.Regex regex8 = new System.Text.RegularExpressions.Regex(@"<p>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);
            //   System.Text.RegularExpressions.Regex regex9 = new System.Text.RegularExpressions.Regex(@"<[^>]*>", System.Text.RegularExpressions.RegexOptions.IgnoreCase);   
            html = regex1.Replace(html, ""); //过滤<script></script>标记     
            html = regex2.Replace(html, ""); //过滤href=javascript: (<A>) 属性    
            html = regex3.Replace(html, " _disibledevent="); //过滤其它控件的on...事件 
            html = regex4.Replace(html, ""); //过滤iframe         
            html = regex5.Replace(html, ""); //过滤frameset      
            html = regex6.Replace(html, ""); //过滤frameset     
            html = regex7.Replace(html, ""); //过滤frameset       
            html = regex8.Replace(html, ""); //过滤frameset         
            //  html = regex9.Replace(html, "");  //          
            html = html.Replace(" ", "");
            html = html.Replace("</strong>", "");
            html = html.Replace("<strong>", "");
            return html;
        }


   

二: 脚本攻击指输入一个恶意脚本到 aspx 页面,造成页面的不正常工作。例如,在留言博中输入:

    

<script>alert(\"the msg box\");</script>

若页面不对用户留言进行处理,就会弹出一个对话框。

 脚本主要是利用了HTML编码,若有错误,则不能显示,可以用。

this.Server.HtmlEncode();可防止脚本攻击。
前端小李
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全系列:如何防止XSS攻击?
01-27
前端安全领域,XSS(Cross-site scripting)攻击是最常见且危险的一种,它允许攻击者在用户浏览器上执行恶意脚本。XSS攻击通常通过注入恶意代码到网页中,利用了浏览器信任并执行来自服务器的任何HTML和JavaScript...
前端安全(3):预防跨站脚本(Cross-Site Scripting,XSS)
imagine_tion的博客
12-10 2447
一、如何预防XSS XSS 攻击有两⼤要素: 攻击者提交恶意代码。 浏览器执⾏恶意代码。 针对第⼀个要素:我们是否能够在⽤户输⼊的过程,过滤掉⽤户输⼊的恶意代码呢? 输入过滤 在⽤户提交时,由前端过滤输⼊,然后提交到后端。这样做是否可⾏呢? 答案是不可⾏。⼀旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。 那么,换⼀个过滤时机:后端在写⼊数据库前,对输⼊进⾏过滤,然后把“安全的”内容,返回给前端。这样是否可行呢?我们举⼀个例子,⼀个正常的⽤户输⼊了 5 < 7 这个内容,在写入数
5种方法--避免使用脚本恶意攻击cos
Keep trying, keep going
04-29 374
即使图片是公有读的,你也可以为访问者生成临时密钥(STS,Security Token Service),以便他们在一定时间内有权访问图片。这样,你可以控制访问者的访问权限和时限,从而减少恶意下载的风险。请注意,腾讯云 COS 本身不提供此类限制功能,但你可以在自己的应用程序或使用第三方服务(如腾讯云 API 网关)来实现这一功能。这并不能直接阻止恶意下载,但可以提高恶意请求者的成本,因为他们需要额外的工作来删除水印。这样,你可以更好地控制谁可以访问这些图片资源,从而降低恶意下载的风险。
脚本防检测防封实战教程
qq_57003296的博客
04-14 1万+
1.进程保护工具基础原理 2.基础设置与自身保护 3.大漠综合工具保护 4.易语言的保护 爱内涵论坛收集整理
浅谈html转义及防止javascript注入攻击
热门推荐
taoerchun的专栏
03-02 3万+
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义? html转义是将特殊字符或html标
如何防止脚本攻击
编码青年的专栏
05-09 1135
脚本攻击zhi
脚本包含了对前端和后端项目的部署
最新发布
07-10
请根据你的实际项目结构和部署环境修改上述脚本中的路径和命令。特别是,你需要根据你的前端构建工具(如Webpack、Vite等)和后端框架(如Express、Koa、Spring Boot等)来调整安装依赖和构建项目的命令。 此外,...
前端实时时间自动获取脚本
02-16
前端实时时间自动获取脚本
Dynamics 365前端扩展开发之自定义脚本
02-07
【Dynamics 365前端扩展开发之自定义脚本】是关于利用JavaScript对Dynamics 365的用户界面进行扩展和定制的教程。在Dynamics 365 CRM中,前端扩展主要通过编写客户端脚本来实现,这些脚本可以增强用户交互,提供数据...
前端访问后台的脚本
03-15
前端访问后台的脚本 do.ajax 前端访问后台的脚本 do.ajax 前端访问后台的脚本 do.ajax
防止html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
如何防止js脚本攻击
qq_43288110的博客
09-27 1409
Javascript可以作为黑客攻击网站的一种工具,其中注入js(javascript)恶意脚本就是其中一种手段之一,那么下面,大家来学习一下如何预防js的注入攻击呢?以下有一个不错的陈述,跟大家分享: 一、什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻 击。让我们研究一个容易遭受 JavaSc...
防止js脚本攻击
qq_42992840的博客
09-27 2071
如何防止js脚本攻击的方法 Javascript可以作为黑客攻击网站的一种工具,其中注入js(javascript)恶意脚本就是其中一种手段之一,那么下面,大家来学习一下如何预防js的注入攻击呢? 一、什么是 JavaScript 注入攻击? 每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻 击。让我们研究一个容易遭受 JavaScrip...
前端输入框如何防止js代码攻击
qq_41621512的博客
09-27 5058
这种攻击一般叫做xss攻击 有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比如:&lt;script&gt;alert('test');&lt;/script&gt;,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。 攻击的危害  攻击者把代码注入进了访问的页面,所以恶意脚本...
前端js脚本防止js脚本
weixin_33948416的博客
11-27 287
前言身为一名前端开发工程师,有时候业务场景是无法用手速模拟的,老司机也有翻车的时候【你懂得】。因此我特意写这一篇文章,希望能够对大家有所帮助。 涉及到的内容:1.chrome浏览器 2.js代码 3.函数节流复制代码第一步打开chrome浏览器,使用组合键Ctrl+shift+i打开开发者工具,接下来如图所示。 点击snippets 第二步如图所示点击new snippet --&gt;输入脚本‘...
jsp脚本是属于前端还是后端
06-07
JSP脚本既包含前端的HTML、CSS等内容,也包含后端的Java代码,因此可以说JSP既属于前端又属于后端。在JSP中,HTML、CSS等前端代码可以直接写在JSP页面中,而Java代码则可以通过JSP中的脚本标签进行嵌入和执行。最终...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值