ASP.NET MVC中防止XXS跳转

最新推荐文章于 2023-03-19 15:46:12 发布
最新推荐文章于 2023-03-19 15:46:12 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: ASP.NET-MVC 文章标签: ASP.NETMVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superlinmeng/article/details/50176015
版权 
public ActionResult Login(LogOnModel model, string returnUrl)  
        {  
            if (ModelState.IsValid)  
            {  
                RegisteredUser usr = RegisteredUserBLL.AuthenticateUser(model.UserName, model.Password);  
                if (usr != null)  
                {  
                    FormsAuthentication.SetAuthCookie(model.UserName + "|" + usr.RealName + "|" + usr.UserType, model.RememberMe);    

                    if (Url.IsLocalUrl(returnUrl) && returnUrl.Length > 1 && returnUrl.StartsWith("/")  
                        && !returnUrl.StartsWith("//") && !returnUrl.StartsWith("/\\"))       
                        { /*
用于避免跳转攻击。攻击者伪造一个看起来指向你的网站的链接,
诱使用户点击,点击后,跳转到他的钓鱼网站上,而用户无法察觉。
甚至,攻击者可以产生一个跨站攻击(xss),
将用户cookie提交给他的网站,导致用户隐私泄露。
使用Url.IsLocalUrl(  xxxUrl )
这个方法,可以判断这个URL是否指向本地网站,还是指向另一个网站
                             */
                        return Redirect(returnUrl);   
                          }
                    return RedirectToAction("Index", "Home");        
  
                }  
                ModelState.AddModelError("", "登录账号或密码不正确");  //  
            }  
            return View(model);  
        }

superlinmeng
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.Net防范XSS漏洞攻击的利器HtmlSanitizer
dotNET跨平台
05-05 3987
项目名称:HtmlSanitizer NuGet安装指令:Install-Package HtmlSanitizer 官方网站:https://github.com/mganss/HtmlSanitizer  开源协议:MIT 可靠程度:更新活跃,目前已经是3.x版,成熟靠谱。   1、  什么是XSS漏洞? XSS漏洞又称为“跨站脚本”漏洞,指的是网站对于用户输入的内容不加甄别的原
[Asp.Net Core] 网站的XSS跨站脚本攻击和防范
最新发布
2201_75761617的博客
08-07 423
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(html、javascript、css等),当用户浏览该页面时,嵌入其的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。将危险内容过滤去除,用HTML转义字符串(Escape Sequence)表达的则保留。再次请求时,已将危险代码转成HTML转义字符串的形式。
谈谈ASP.NET Core MVC预防跨站脚本攻击(xss)与跨站请求伪造(CSRF)
覃鸿宇的博客
02-28 1283
XSS Cross-Site Scripting 跨站脚本攻击:攻击者将客户端脚本注入到其他用户查看的网页。 不被信任的数据: • HTML input • HTTP Headers • Query strings • Attributes,EXIF 信息 防止 XSS • HTML Encoding:> 变成 > < 变成 < • Razor 默认开启了 HTML...
asp.net防止XSS(脚本)攻击
lbx541575387的专栏
09-14 4258
///         /// 过滤xss攻击脚本        ///         /// 传入字符串       /// 过滤后的字符串        public string FilterXSS(string html)       {            if (
web安全之XSS攻击及防范
qq_40057138的博客
03-14 1497
一:什么是XSS攻击? 二:反射型XSS 三:存储型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防范? cookie安全策略 X-XSS-Protection设置 XSS防御HTML编码 XSS 防御HTML Attribute编码 XSS防御之javascript编码 XSS 防御之 URL 编码 XSS 防御之 CSS 编码 开启CSP网页安全政策防止XSS攻击 一:什么是XSS攻击? XSS 即(Cross Site Scripting)文名称为:跨站脚本攻击。XSS的
ASP.NET MVC项目源代码设计资料
06-08
在这个"ASP.NET MVC项目源代码设计资料",我们可以深入学习和理解这一框架的实践应用。 1. **模型(Model)**:模型是应用程序的核心部分,负责管理业务逻辑和数据。在ASP.NET MVC,模型通常由数据库实体、业务...
Asp.net mvc 实现超时弹窗后跳转功能
10-20
Asp.net MVC框架,实现超时弹窗后跳转功能是一项常见的需求,它能够为用户提供友好的交互体验,防止用户在长时间无操作后继续访问受保护的资源。以下将详细阐述如何实现这一功能。 首先,我们可以通过自定义...
ASP.NET MVC 项目集合.zip
09-07
在这个"ASP.NET MVC 项目集合.zip"压缩包,可能包含了多个ASP.NET MVC项目的源代码,这对于学习和理解ASP.NET MVC的开发实践非常有帮助。下面,我们将深入探讨ASP.NET MVC的关键概念和技术。 1. **模型(Model)*...
ASP.NET Core如何利用Csp标对抗Xss攻击
10-16
主要给大家介绍了关于ASP.NET Core如何利用Csp标对抗Xss攻击的相关资料,文通过示例代码介绍的非常详细,对大家学习或者使用ASP.NET Core具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
ASP.NET MVC设置跨域访问问题
01-20
在ES6为了解除同源策略问题,想出一个办法:当被请求网站为响应respone添加了一个名为Access-Control-Allow-Origin的header,设置其值等于发起请求网站的域名地址的话,这次请求被视为允许。其Access-Control-...
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3295
在上述代码,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网站的安全性。
ASP.NET MVC Anti-XSS方案
weixin_34327223的博客
12-31 260
1:Form提交模式 在使用Form提交时,MVC框架提供了一个默认的机制。如果数据含有恶意字,则会自动转向出错页面。 2:Ajax+JSON提交模式。 MVC框架未提供对于Json数据的AntiXSS支持,所以必须自行实现。 Step1:定义一个Attribute[AllowHtml],如果有这个标记,则说明该属性允许Html,不需要验证。 /// &lt...
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
热门推荐
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
Asp.net防御XSS攻击组件库
weixin_34390105的博客
04-27 866
一、AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下。 目前类库已融入到.netframework,类库主页不再更新。 使用方法:使用Nuget,搜索AntiXss 在项目添加命名空间引用:using Microsoft.Security.Application; 示例代码: string xssstr="&lt...
.net解决Xss攻击
imherer的博客
09-11 1357
首先要明白什么是Xss攻击 XSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 数据来源...
ASP.NET MVC3文教程:快速入门与实战
创建工程的过程包括:选择“文件”菜单的“新建项目”,接着在“新建项目”对话框选择“Visual C#”下的“Web”类别,然后选取“ASP.NET MVC3 Web应用程序”。在设置项目名称(例如“MvcMovie”)后,继续在“新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值