ASP.NET MVC中防止XXS跳转

最新推荐文章于 2020-02-28 21:31:43 发布
最新推荐文章于 2020-02-28 21:31:43 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: ASP.NET-MVC 文章标签: ASP.NETMVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superlinmeng/article/details/50176015
版权 
public ActionResult Login(LogOnModel model, string returnUrl)  
        {  
            if (ModelState.IsValid)  
            {  
                RegisteredUser usr = RegisteredUserBLL.AuthenticateUser(model.UserName, model.Password);  
                if (usr != null)  
                {  
                    FormsAuthentication.SetAuthCookie(model.UserName + "|" + usr.RealName + "|" + usr.UserType, model.RememberMe);    

                    if (Url.IsLocalUrl(returnUrl) && returnUrl.Length > 1 && returnUrl.StartsWith("/")  
                        && !returnUrl.StartsWith("//") && !returnUrl.StartsWith("/\\"))       
                        { /*
用于避免跳转攻击。攻击者伪造一个看起来指向你的网站的链接,
诱使用户点击,点击后,跳转到他的钓鱼网站上,而用户无法察觉。
甚至,攻击者可以产生一个跨站攻击(xss),
将用户cookie提交给他的网站,导致用户隐私泄露。
使用Url.IsLocalUrl(  xxxUrl )
这个方法,可以判断这个URL是否指向本地网站,还是指向另一个网站
                             */
                        return Redirect(returnUrl);   
                          }
                    return RedirectToAction("Index", "Home");        
  
                }  
                ModelState.AddModelError("", "登录账号或密码不正确");  //  
            }  
            return View(model);  
        }

superlinmeng
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Asp.Net Core] 网站的XSS跨站脚本攻击和防范
2201_75761617的博客
08-07 415
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(html、javascript、css等),当用户浏览该页面时,嵌入其的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。将危险内容过滤去除,用HTML转义字符串(Escape Sequence)表达的则保留。再次请求时,已将危险代码转成HTML转义字符串的形式。
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ASP.NET MVC Anti-XSS方案
weixin_34327223的博客
12-31 259
1:Form提交模式 在使用Form提交时,MVC框架提供了一个默认的机制。如果数据含有恶意字,则会自动转向出错页面。 2:Ajax+JSON提交模式。 MVC框架未提供对于Json数据的AntiXSS支持,所以必须自行实现。 Step1:定义一个Attribute[AllowHtml],如果有这个标记,则说明该属性允许Html,不需要验证。 /// &lt...
.net mvc 防止 xss 与 CSRF
weixin_30741653的博客
05-31 94
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSR...
谈谈ASP.NET Core MVC预防跨站脚本攻击(xss)与跨站请求伪造(CSRF)
覃鸿宇的博客
02-28 1278
XSS Cross-Site Scripting 跨站脚本攻击:攻击者将客户端脚本注入到其他用户查看的网页。 不被信任的数据: • HTML input • HTTP Headers • Query strings • Attributes,EXIF 信息 防止 XSS • HTML Encoding:> 变成 > < 变成 < • Razor 默认开启了 HTML...
MVC WEB安全——XSS攻击防御
weixin_30237719的博客
06-21 93
XSS(跨站脚本攻击) 描述: 原理:攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其Web里面的代码会被执行,从而达到攻击用户的特殊目的。 类别: 1)被动注入(Passive Injection)。用户将恶意代码输入到表单,保存到数据库,然后再显示在网站上; 2)主动注入(Active Injection)。用户将恶意代码输入到文本框并将输入的...
ASP.NET MVC项目源代码设计资料
06-08
在这个"ASP.NET MVC项目源代码设计资料",我们可以深入学习和理解这一框架的实践应用。 1. **模型(Model)**:模型是应用程序的核心部分,负责管理业务逻辑和数据。在ASP.NET MVC,模型通常由数据库实体、业务...
ASP.NET MVC 项目集合.zip
09-07
在这个"ASP.NET MVC 项目集合.zip"压缩包,可能包含了多个ASP.NET MVC项目的源代码,这对于学习和理解ASP.NET MVC的开发实践非常有帮助。下面,我们将深入探讨ASP.NET MVC的关键概念和技术。 1. **模型(Model)*...
ASP.NET MVC设置跨域访问问题
01-20
在ES6为了解除同源策略问题,想出一个办法:当被请求网站为响应respone添加了一个名为Access-Control-Allow-Origin的header,设置其值等于发起请求网站的域名地址的话,这次请求被视为允许。其Access-Control-...
ASP.net MVC3 文教程
12-23
ASP.net MVC3 文教程ASP.net MVC3 文教程ASP.net MVC3 文教程ASP.net MVC3 文教程
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
asp.net MVC4.0安装包和文包
01-21
安装过程会自动添加必要的ASP.NET MVC4.0组件到Visual Studio,使得开发者可以在IDE直接创建和管理MVC项目。 在压缩包,"MVC"可能是指包含ASP.NET MVC4.0的安装程序或者相关文件。通常,安装文件可能有...
ASP.NET阻止form表单提交后跳转网页的方法
HerryDong的博客
09-11 1804
大家都知道form表单提交之后网页就跳转了,然而在很多时候我们不希望网页跳转,这时有同志提出:利用div替换form,然后ajax提交就可以了。这样做功能当然是能够实现的,但填写完后按回车键就没反应了…对于我这样的半吊子前端来说,多写一点js代码都是痛苦万分,还好form有一个onsubmit事件,可以完美解决问题。 html代码 <!DOCTYPE html> <html&gt...
Asp.net MVC防止图片盗链的实现方法,通过自定义RouteHandler来操作
weixin_33670786的博客
09-26 133
本文告诉你如何在ASP.NET MVC实现一个自定义RouteHandler来防止其他人盗链你的图片. 首先,我们来回顾一下当一个请求发往ASP.net MVC站点时的情景,IIS收到请求并将请求转到ASP.net,然后根据URL,或者更确切来说:被请求文件的扩展名.在IIS7 integrated模式下(默认模式),所有的请求都会匹配到ASP.net,而在IIS6,你可以通过通配符来达到...
.net解决Xss攻击
dengjingzhi3900的博客
09-20 389
首先要明白什么是Xss攻击 XSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客...
MVC 如何防止XSS、SQL注入攻击
Java_c#
04-19 3230
在Web项目,通常需要处理XSS,SQL注入攻击。(过滤特殊字符) 解决这个问题有两个思路: 1、在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原 2、在显示的时候对非法字符进行转义 代码: /// <summary> /// 对转义字符进行处理 /// 左尖括号: < &lt; /// 右尖括...
Asp.net Mvc利用ValidationAttribute实现xss过滤
djk2045的博客
04-16 375
在网站开发,需要注意的一个问题就是防范XSS攻击,Asp.net mvc已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程asp.net会对用户提交的数据进行验证,一旦发现提交的数据包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这种默认的行为保证了网站的安全性,但是对于用户体验来说却不够友好,所以大多数人都希望对...
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
热门推荐
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
ASP.NET编程知识】ASP.NET MVC HttpPostedFileBase文件上传的实例代码.docx
最新发布
05-16
"本文档主要探讨ASP.NET MVC框架的HttpPostedFileBase文件上传功能,提供一个实用的实例代码,旨在帮助开发者理解和实现多文件一次性上传,并支持图片的缩略图生成。内容涵盖了文件上传的基本操作,如文件名、是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值