http访问拦截器,使用正则匹配request请求是否存在xxs攻击

已于 2022-01-27 15:42:54 修改
阅读量2k 收藏
点赞数
分类专栏: C# ASP.NET 文章标签: c#
于 2022-01-27 15:39:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010317783/article/details/122718711
版权
本文介绍了如何在C#环境中,通过设置HTTP访问拦截器来实现对请求的过滤,特别是利用正则表达式检查以防止潜在的XXS跨站脚本攻击。这一防御机制是在web.config的system.webServer节点下配置实现的。
摘要由CSDN通过智能技术生成

http访问拦截器,过滤xxs构建的请求

public class HttpAccessInterceptModule : IHttpModule
    {
   
        private static List<string> _RegexWords;

        static HttpAccessInterceptModule()
        {
   
            _RegexWords = new List<string>()
            {
   
                @"<[^>]+>'",
                @"</[^>]+>'",
                @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt|window|location|eval|console|debugger|Function|var|let)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)"
            };
        }

        public void Dispose()
        {
   

        }

        public void Init(HttpApplication context)
        {
   
            context.PreSendRequestHeaders += OnPreSendRequestHeaders;
            context.BeginRequest += Context_BeginRequest;
        }

        private void OnPreSendRequestHeaders(object sender, EventArgs e)
        {
   
            try
            {
   
                if (sender is HttpApplication app)
                {
   
                    app.Response.Headers.Set("Server", "WebServer");
                    app.Response.Headers.Remove("X-AspNet-Version");
                    app.Response.Headers.Remove("X-AspNetMvc-Version");
                    app.Response.Headers.Remove("X-Powered-By");
                }
            }
            catch (Exception ex)
            {
   
                Log.Error(this, ex);
            }
        }

        private void Context_BeginRequest(object sender, EventArgs e)
        {
   
            if (sender is HttpApplication app)
            {
   
                try
                {
最低0.47元/天 解锁文章
伊万洛夫拉裤兜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net IHttpModule实现网站内容过滤
06-02
IHttpModule实现网站内容过滤IHttpModule实现网站内容过滤IHttpModule实现网站内容过滤
C# 过滤器/拦截器
qq_38192821的博客
05-09 2491
过滤器,拦截器,区别。
C#拦截器(AOP)的基础知识及其用法
最新发布
2401_82584055的博客
05-23 1118
优点:开发人员可以在数据库操作之前或之后集成自定义逻辑。这样可以更精细地控制数据访问行为。
.Net使用HttpModule过滤请求
weixin_30326745的博客
02-06 362
编写自己的HttpModule 要实现HttpModule,必须实现接口IHttpModule。 using System; namespace System.Web { public interface IHttpModule { // 销毁不再被HttpModule使用的资源 void Dispose(); ...
SpringBoot防止跨站脚本攻击Xss(覆盖Http请求,对http请求进行转义)
qq_44759750的博客
03-07 857
流程: 1、导入依赖hutool(提供一些Utile工具类) 2、定义请求包装类继承HttpServletRequestWrapper对数据进行转义 3、创建过滤器,将请求拦截并传入自定义包装类中 4、主类添加@ServletComponentScan扫描过滤器(@WebFilter) 1、 hutool提供一写工具类HtmlUtil、StrUtil <dependency> <groupId>cn.hutool</groupId>
HttpAccessModule
为了忘却的专栏
04-22 1076
概要 这个模块提供了一个简单的基于主机的访问控制。 nginx_http_access_module 模块是的控制客户端特定ip地址访问成为可能。从nginx 08.22 开始支持  IPv6。 访问规则更具他们声明的顺序组个检查。符合规则特定地址或者地址组将首先被执行。 配置实例: location / {   deny    192.168.1.1;   allow   192
微信小程序wx.request拦截器使用详解
10-16
主要介绍了微信小程序wx.request拦截器详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
axios使用拦截器统一处理所有的http请求的方法
01-19
axios使用拦截器  在请求或响应被 then 或 catch 处理前拦截它们。 http request拦截器 // 添加请求拦截器 axios.interceptors.request.use(function (config) { // 在发送请求之前做些什么 return config; }, ...
Angular8 Http拦截器简单使用教程
10-16
主要介绍了Angular8 Http拦截器简单使用教程,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
如何利用nginx通过正则拦截指定url请求详解
09-29
在本文中,我们将深入探讨如何使用Nginx服务器通过正则表达式拦截特定的URL请求。Nginx是一个高性能的Web服务器,它以其高效的静态文件处理能力和强大的反向代理功能而闻名。在许多Web应用程序架构中,Nginx被用作...
【前端安全】JavaScript防http劫持与XSS
weixin_34127717的博客
08-16 346
作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。 最近用 JavaScript 写了一个组件,可以在前端层面防御部分 HTTP 劫持与 XSS。 当然,防御这些劫持最好的方...
chrome浏览器拦截(block)特定网站某些请求的方法
薛定喵君的博客
07-26 1万+
介绍一下在浏览器中拦截特定网络请求的方法,比较实用???? 最近遇到了一个需求,需要在一个系统里面点击某些按钮的时候不要触发某个请求(例如操作日志) 正好Chrome浏览器就可以很好地满足这一愿望,仅需安装一个扩展(Extension)程序----"Request blocker" # 获取途径 ①谷歌扩展商店获取:https://chrome.google.com/webstore/detail/h...
asp.net mvc 过滤XSS跨站脚本攻击
冻死的企鹅
08-12 1100
asp.net mvc 过滤跨站点脚本攻击拦截器 using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Text.RegularExpressions; using System.Web; namespace Org.Core.Commons { /// /// http访问拦截器模块 /// 1.过滤危险关键词 /// 2.增加安全Header
c# .net core WEB Api拦截器
qq_57212959的博客
07-05 1875
在program中添加此行代码,会处理前后端数据交互出现乱码的情况。登录拦截器 继承ActionFilterAttribute。接口连接前拦截 重写(OnActionExecuting)接口连接后拦截 重写(OnActionExecuted)在program中添加此行代码,会拦截所有接口。分为在请求接口前拦截与请求接口后拦截。放在方法的前面只对这一个方法生效。放在类的前面,对整个类生效。
【.NET】校验文件真实格式
MoFe1的博客
09-05 660
【.NET】校验文件真实格式
3大Web安全漏洞防御详解:XXS,CSRS以及SQL注入
谢谢你,慌乱了我的年华
12-27 1576
基本的web安全知识,你们知道有多少种web安全漏洞吗?这里不妨列举10项吧,你们可以自己去网站找相应的教程来提升自己的 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL inje...
HTTP系列 干饭人冲啊----XSS攻击?什么是xss攻击
Genus_的博客
01-13 444
什么是XSS攻击 XSS(Cross Site Scripting)攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并操作 这些操作一般可以完成下面这些事情: 窃取cookie 监听用户的行为,比如输入账号密码等 修改DOM伪造登录表单 在页面中生成浮窗广告 xss攻击指的是跨站脚本攻击,是一种代码注入攻击,攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息,如cookie等, xss的本质是因为网站没有对恶意脚本进行过滤,与正常代码混合在一起
post攻击 xxs_如何拦截post请求的xss攻击
weixin_42298093的博客
01-28 1221
publicclassXssHttpServletRequestWrapperextendsHttpServletRequestWrapper{//白名单数组privatestaticfinalString[]WHITE_LIST={"content"};//定义script的正则表达式privatestaticfinalStringREGEX_SCRIPT="...
正则过滤敏感字符来解决XSS
热门推荐
戴眼镜的盲人键盘手
01-06 1万+
今天系统出了一个漏洞,XSS(跨站脚本攻击),系统中的表单提交时填写特殊字符,会报错,影响系统的稳定性。 漏洞描述: 在一个表单文本框中写"><script>alert(/xsstest/)</script> 提交表单时,会把文本中的字符当做script 代码解析出来。这个漏洞可用于钓鱼攻击或者窃取用户cookie。从而登录他人账户。所以要对用户输入的信息进行处理,来解决这个问题
正则匹配拦截sql注入
07-25
使用正则表达式来拦截SQL注入是另一种常见的方法。通过对用户输入进行正则匹配,可以检测是否存在可能导致SQL注入的特殊字符或关键字。 以下是一个简单的示例,演示如何使用正则表达式来拦截包含SQL关键字的输入: ```java import java.util.regex.Pattern; public class SQLInjectionFilter { private static final String SQL_KEYWORDS_REGEX = "(?i)SELECT|INSERT|UPDATE|DELETE"; public static boolean isSafeInput(String input) { Pattern pattern = Pattern.compile(SQL_KEYWORDS_REGEX); return !pattern.matcher(input).find(); } } ``` 在上面的示例中,我们定义了一个名为 `isSafeInput` 的方法,它接受用户输入并使用正则表达式来匹配SQL关键字。如果输入中包含任何SQL关键字,那么 `matcher.find()` 将返回 `true`,表示存在SQL注入的风险。 你可以在处理用户输入之前调用 `isSafeInput` 方法来验证输入是否安全。如果返回值为 `true`,则可以继续处理输入;如果返回值为 `false`,则可以采取适当的措施,例如拒绝请求或进行进一步的验证。 请注意,正则表达式仅作为一种简单的检测方法,并不能完全防止所有形式的SQL注入攻击。因此,仅依靠正则表达式可能不足以提供完整的安全性。结合其他防护措施,如使用预编译语句、参数绑定和输入验证,可以提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值