(1)、网站留言板或者一些注册页面,未对用的输入做转义及过滤,攻击者可提交精心构造的恶意脚本,可破坏后台网页结构,xss恶意弹窗
解决方案:对链接,参数进行过滤
/// <summary>
/// 过滤特殊字符串,过滤html
/// </summary>
/// <param name="str"></param>
/// <returns></returns>
public string StringIllegalFormat(string str)
{
if (!string.IsNullOrEmpty(str))
{
str = str.Trim();
str = str.Replace("/", "?");
Regex reg1 = new Regex(@"<[\s]*?script[\s\S]+<[\s]*?/script[\s]*?>", RegexOptions.IgnoreCase);
str = reg1.Replace(str, "");
Regex reg2 = new Regex(@"javascript[\s]*?:[\S]*?\(\w*?\)[\;]*?", RegexOptions.IgnoreCase);
str = reg2.Replace(str, "");