开源代码NHtmlFilter 帮你过滤Html危险脚本 防止XSS攻击

最新推荐文章于 2024-08-08 16:10:15 发布
最新推荐文章于 2024-08-08 16:10:15 发布
阅读量525 收藏
点赞数
文章标签: 前端 java c# ViewUI
原文链接:http://www.cnblogs.com/weirhp/archive/2011/10/03/NHtmlFilter.html
版权

你是否一直为如何防止XSS攻击苦恼呢?来试用一下NHtmlFilter吧,我想它是你想要的。。

最近新去的一家小公司,在.net做web开发上真的很弱。底层框架,基础类库是很不完善呀。又是做互联网应用,安全总是要考虑的吧。今天我要解决的一个小问题就是过滤掉用户上传的html文本中的脚本。在网上查了一下没有找到合适的基于C#的这种处理,在java项目中或许我可以选用jsoup,HtmlFilter来处理html危险脚本的问题(其实以前我是做java开发的),无奈之下我就参照java版的HtmlFilter的代码写C#版本。

使用方法

 NHtmlFilter target = new NHtmlFilter(); 
            string input = "<div>dd</div><a id=\"testId\" href=\"http://code.google.com/p/nhtmlfilter\">nhtmlfilter</a>"; 
            string expected = "dd<a href=\"http://code.google.com/p/nhtmlfilter\">nhtmlfilter</a>"; 
            string actual;
            actual = target.filter(input);

对于可以使用的标签和标签属性都是可以用程序配制,再做简单封装就可以用于你的项目喽。

代码浏览地址

https://code.google.com/p/nhtmlfilter/source/browse/trunk/NHtmlFilter/NHtmlFilter.cs 

代码项目下载地址。。
https://code.google.com/p/nhtmlfilter/downloads/list (google code 可能被墙了。。)

本站下载

http://files.cnblogs.com/weirhp/NHtmlFilter1.0.rar

别人写的其它版本 Java PHP

欢迎下载使用,基于MIT协议发布,大家随便用喽。。用的开心就好。。有什么问题,一起研究喽。

本文为作者原创,欢迎拍砖

http://www.cnblogs.com/weirhp/archive/2011/10/03/NHtmlFilter.html
转载请著名出处,谢谢
weirhp@gmail.com

转载于:https://www.cnblogs.com/weirhp/archive/2011/10/03/NHtmlFilter.html

weixin_30376163
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,源的XSS HTMLFILTER工具类能过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
过滤html恶意代码
pan-zy的专栏
06-30 1813
/** * 转义HTML特殊字符 */ public static final String trunhtml(String html){ if(html == null) return null; final StringBuilder newhtml = new StringBuilder("");
C# NHtmlFilter 过滤Html危险脚本 防止XSS攻击
weixin_30279751的博客
10-17 335
转:http://www.oschina.net/code/snippet_222150_9776 与原文代码略有改动 /// <summary> /// Html 脚本过滤 /// </summary> public class NHtmlFilter { prot...
使用filter防止XSS
myself8202的博客
08-31 453
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 ##二.思路 ###基于filter拦截,将特殊字符替换为html转意字
XssFilter防止脚本注入,防止xss攻击
javaloveiphone的专栏
12-10 9404
主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml(“fff”)方法。 其中,输入时的过滤是用一个filter来实现, 实现过程: 在we
文本过滤NHtmlFilter v1.0源码2012811
08-11
源代码NHtmlFilter 过滤Html危险脚本 防止XSS攻击 如何防止XSS攻击,在.net做web发上真的很弱。 底层框架,基础类库是很不完善。又是做互联网应用,安全总是要考虑的吧。 今天要解决的一个小问题就是过滤掉用户...
前端防xss脚本攻击,js过滤xss脚本,nodejs过滤xss脚本
GIS地图技术分享(GIS入门、Openlayers教程、Leaflet教程),做最好的GIS地图开发教程
11-24 2377
xss系列: springmvc防xss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义 前端防xss脚本攻击,js过滤xss脚本,nodejs过滤xss脚本 前言 xss攻击很常见,不多说,直接始。 本章参考:https://github.com/leizongmin/js-xss/blob/master/README.zh.md 1.引用js-xss库: <script src="https://cdn.bootcdn.net/ajax/libs/js-xss/
XSS漏洞之js脚本攻击
Decadent丶沉沦の博客
09-29 1758
XSS攻击之对前端脚本做校验
javascript过滤XSS
05-06
javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
XSS HTMLFilter
pittzhangswing的专栏
03-16 1740
原文地址:http://www.oschina.net/p/xss-htmlfilter XSS HTMLFilter这是一个采用Java实现的源类库。用于分析用户提交的输入,消除潜在的跨站点脚本攻击(XSS),恶意的HTML,或简单的HTML格式错误。 示例代码: // retrieve input from user... String input = ... String
javascript过滤危险脚本方法
12-03
下面是他们的字符串规则: 1、<(script|link|style|iframe)(.|\n)*<\/\1>\s* 2、\s*on[a-z]+\s*=\s*(“[^”]+”|'[^’]+’|[^\s]+)\s*(?=>) 3、\s*(href|src)\s*=\s*(“\s*(javascript|vbscript):[^”]+”|’\s*(javascript|vbscript):[^’]+’|(javascript|vbscript):[^\s]+)\s*(?=>) 4、epression\((.|\n)*\);? 了解他们的规则后,抓虫行动就水到渠成。 抓虫1 a { heigh
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
防止存储式XSS攻击过滤HTML
勤学、勤思
05-25 383
防止存储式XSS攻击过滤HTML package net.sf.xsshtmlfilter; import java.util.ArrayList; import java.util.Collections; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.concurrent.ConcurrentHashMap; import java.util.concurre..
跨站点脚本攻击(XSS)防护 XSS HTMLFilter
jasontome的android之路:Do it. Do it right. Do it righ
01-26 9831
XSS HTMLFilter这是一个采用Java实现的源类库。用于分析用户提交的输入,消除潜在的跨站点脚本攻击(XSS),恶意的HTML,或简单的HTML格式错误。 示例代码: // retrieve input from user... String input = ... String clean = new HTMLInputFilter().filter( input );
HTMLPurifier laravel 过滤输入文本防止XSS攻击安装使用
lhw413的博客
06-28 3944
Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。 1、安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/。
关于HTML 代码注入,XSS攻击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
使用filter解决xss攻击
fangleijiang的专栏
06-25 9266
使用filter解决xss攻击的实现思路,其实是通过正则的方式对请求的参数做脚本过滤,但是这需要对所要过滤脚本做很多的枚举。下面这个demo是我在工作中用到的,希望对大家有所助。 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest org
js 前端xss攻击——百度UEditor解决方案
两只橙的博客
11-02 9744
xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。  大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根
配置拦截器防xss和sql注入
香菇猫的博客
11-19 6496
web项目防sql注入
ASP.NET Core Web API 使用Autofac框架
最新发布
鲤籽鲲的博客
08-08 482
ASP.NET Core Web API 使用Autofac框架
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值