利用ModelBinder防止XSS一次尝试

于 2019-08-03 19:16:41 发布
阅读量60 收藏
点赞数
原文链接:http://www.cnblogs.com/WillMeng/archive/2011/04/18/ModelBinder-XSS.html
版权

Web开发中不可避免的要防止XSS,防止XSS当然要进行Encode(这里是广义,表示Encode和过滤掉特殊标签,下面不再解释),分为输出和输入。各有用处,比如,您提交保存并显示一块内容,那么多数情况下,您需要对输出进行Encode;对于搜索功能,您需要对查询条件进行(输入)Encode,例如:当在查询参数里面输入<scrpit>之类的东西时候您可能需要去掉它,得到所谓安全的参数,也就是查询id=111和查询id=111><script>出来的结果是一样的。我今天暂时尝试了对输入进行Encode。


MVC里面有一个机制非常有用,您可以利用它完成很多事情---ModelBinder。一个场景如下:注册账户(为了简单,仅仅有用户名和密码两个字段)。

 
  
 
   public 
     
   class 
    User
{
 
   public 
     
   string 
    UserName {  
   get 
   ;  
   set 
   ; }

 
   public 
     
   string 
    PassWord {  
   get 
   ;  
   set 
   ; }
} 
  
 
 
 
 
我们需要对post到action里面的内容进行Encode。利用ModerBinder,我们可以绑定参数值,当然我们重写一个ModerBinder,就可以进行Encode了。
 
 
 
  ContractedBlock.gif 
  ExpandedBlockStart.gif 
  原始的ModelBinder 
  
 
   
 
   
 
    public 
      
    class 
     ForbiddenXSSModelBinder : IModelBinder
{
 
    #region 
     IModelBinder 成员 
    

 
    public 
      
    object 
     BindModel(ControllerContext controllerContext, 
 ModelBindingContext bindingContext)
 {
 var valueProviderResult  
    = 
     bindingContext.ValueProvider.GetValue(bindingContext.ModelName);
 
    if 
     (valueProviderResult  
    == 
      
    null 
    )
 
    return 
      
    null 
    ;

 
     return 
     Encoder.HtmlEncode(valueProviderResult.AttemptedValue);
 }

 
    #endregion 
    
} 
   
 
  
 
 
 
 
这里忽略了异常处理,和一些入口检查。简单的代码,完成了功能。
 
 
很快问题出来了:
 
 
1、我们对所以的参数都进行Encode,这是不对的。因为有些我们是不需要过滤(有些是不能,比如PassWord字段),比如创建时间字段
 
 
2、对所有字段进行Encode无疑是浪费性能的事情
 
 
那么,我们能不能根据定制进行Encode呢?我想到了Attribute,思路如下:
 
 
1、我们对User类需要Encode的属性进行标识
 
 
2、在ModerBinder的时候对类型的属性进行判断,进行确定是否要Encode
 
 
思路有了,代码实现很简单。先定义一个Attribute:
 
 
 
  ContractedBlock.gif 
  ExpandedBlockStart.gif 
  AllowEncodeAttribute 
  
 
   
 
   
 
    [AttributeUsage(AttributeTargets.Method, AllowMultiple  
    = 
      
    true 
    , Inherited  
    = 
      
    true 
    )]
 
    public 
      
    class 
     AllowEncodeAttribute : Attribute
{
 
    /// 
      
    <summary> 
    
 
    /// 
     判断是否需要Encode
 
    /// 
      
    </summary> 
    
 
      
    public 
      
    bool 
     AllowEncode {  
    get 
    ;  
    set 
    ; }

 
    public 
     AllowEncodeAttribute( 
    bool 
     allow)
 {
 AllowEncode  
    = 
     allow;
 }
} 
   
 
  
 
 
 
 
将User类更改:
 
 
 
  
 
  
 
   [AllowEncode( 
   true 
   )]
 
   public 
     
   string 
    UserName {  
   get 
   ;  
   set 
   ; } 
  
 
 
 
 
在ModerBinder中这样操作:
 
 
 
  ContractedBlock.gif 
  ExpandedBlockStart.gif 
  改进后的ModerlBinder 
  
 
   
 
   
 
    public 
      
    override 
      
    object 
     BindModel(ControllerContext controllerContext, 
 ModelBindingContext bindingContext)
{
 DealInputValue(controllerContext.HttpContext.Request.QueryString);
 DealInputValue(controllerContext.HttpContext.Request.Form);

 var valueProviderResult  
    = 
     bindingContext.ValueProvider.GetValue(bindingContext.ModelName);
 
    if 
     (valueProviderResult  
    == 
      
    null 
    )
 
    return 
      
    null 
    ;

 Type type  
    = 
     bindingContext.ModelMetadata.ContainerType;
 var propertyInfo  
    = 
     type.GetProperty(bindingContext.ModelName);
 var attribute  
    = 
     Attribute.GetCustomAttribute(propertyInfo, 
 
    typeof 
    (AllowEncodeAttribute))  
    as 
     AllowEncodeAttribute;

 
    if 
     (attribute  
    != 
      
    null 
      
    && 
     attribute.AllowEncode  
    == 
      
    true 
    )
 {
 
    return 
     Encoder.HtmlEncode(valueProviderResult.AttemptedValue);
 }

 
    return 
     valueProviderResult.AttemptedValue;
} 
   
 
  
 
 
 
 
至此,尝试便结束了,初步达到了要求。
 
 
依然有一些问题存在:
 
 
1、对于参数并没有经过ModerBinder的我们怎么办?需要一个一个的Encode吗?
 
 
2、对于输出需要进行Encode的我们要如何?用HtmlHelper的Encode方法操作吗?
 
 
这是我下面要进行尝试的东西。
 

 

转载于:https://www.cnblogs.com/WillMeng/archive/2011/04/18/ModelBinder-XSS.html

                

        

        




    




    

      

        

            

              
                
                  weixin_30682127
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
asp.net MVC利用自定义ModelBinder过滤关键字的方法(附demo源码下载)

				
			

			

				

					10-22
				

			

		

		

			
				
主要介绍了MVC利用自定义ModelBinder过滤关键字的方法,结合实例形式详细分析了自定义ModelBinder过滤关键字的原理与具体实现技巧,需要的朋友可以参考下

			
		

	



                

              
                



	

		

			

				
					
你从未知道如此强大的.NET MVC DefaultModelBinder

				
			

			

				

					极客神殿
				

				

					02-02
					
					947
					
				

			

		

		

			
				
看到很多ASP.NET MVC项目还在从request.querystring或者formContext里面获取数据,这实在是非常落后的做法。也有的项目建了大量的自定义的modelbinder,以为很牛,实际上也落后的很。ASP.NET MVC提供了IModelBinder的默认实现,这个实现的类就叫DefaultModelBinder。我们在写代码的时候,几乎感觉不到这个类的存在,因为这个类自动将

			
		

	



                


  
              

                


	

		

			

				
					
XSS过滤空指针异常解决思路

				
			

			

				

					qq_27901123的博客
				

				

					05-31
					
					1526
					
				

			

		

		

			
				
[nio-8089-exec-1] n.s.d.c.exception.RRExceptionHandler     : null

java.lang.NullPointerException: null
	XssHttpServletRequestWrapper.getInputStream(XssHttpServletRequestWrapper.java:37)
	at org.sprin...

			
		

	





	

		

			

				
					
MVC中的默认Model绑定者DefaultModelBinder

				
			

			

				

					极客神殿
				

				

					02-03
					
					424
					
				

			

		

		

			
				
一、题外话



public IModelBinder DefaultBinder
{
    get
    {
        if (this._defaultBinder == null)
        {
            this._defaultBinder = new DefaultModelBinder();
        }
        return this.

			
		

	



		

			
		



	

		

			

				
					
MVC中利用自定义的ModelBinder过滤关键字

				
			

			

				

					weixin_34292287的博客
				

				

					04-24
					
					88
					
				

			

		

		

			
				
上一篇主要讲解了如何利用ActionFilter过滤关键字,这篇主要讲解如何利用自己打造的ModelBinder来过滤关键字。
首先,我们还是利用上一篇中的实体类,但是我们需要加上DataType特性,以便于我们构造的ModelBinder通过DataTypeName识别出来:

   1:  using System.ComponentModel.DataAnnotations;
   ...

			
		

	





	

		

			

				
					
backbone-modelbinder-0.1.6.jar

				
			

			

				

					03-13
				

			

		

		

			
				
官方版本,亲测可用

			
		

	





	

		

			

				
					
backbone-modelbinder-0.1.6-1.jar

				
			

			

				

					03-13
				

			

		

		

			
				
官方版本,亲测可用

			
		

	





	

		

			

				
					
前端项目-backbone.modelbinder.zip

				
			

			

				

					09-03
				

			

		

		

			
				
前端项目-backbone.modelbinder,简单、灵活、强大的主干模型视图绑定。

			
		

	





	

		

			

				
					
Linux操作系统相关习题集

				
			

			

				

					04-25
				

			

		

		

			
				
Linux操作系统相关习题集,包含常用名、Linux系统基础知识等

			
		

	





	

		

			

				
					
基于java的-30-「计算机毕业设计」基于net的湖南特产销售网站-源码.zip

				
			

			

				

					04-25
				

			

		

		

			
				
提供的源码资源涵盖了Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。
适用人群:
适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。
使用场景及目标:
在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。
其他说明:
为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!

			
		

	





	

		

			

				
					
JVM+Java程序运行过程内存分配图解

				
			

			

				

					04-25
				

			

		

		

			
				
1、JVM 内存分配图解的 Visio 工程图。
2、直接下载使用、可自行调整和修改

			
		

	





	

		

			

				
					
IOC智慧运营中心平台整体解决方案qy.pptx

				
			

			

				

					04-25
				

			

		

		

			
				
IOC智慧运营中心平台整体解决方案qy.pptx

			
		

	





	

		

			

				
					
node-v12.22.8-x86.msi

					
最新发布

				
			

			

				

					04-25
				

			

		

		

			
				
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。

Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。

Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。

在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。



			
		

	





	

		

			

				
					
【前端素材】大数据-电动车管理.zip

				
			

			

				

					04-25
				

			

		

		

			
				

大数据技术指的是用于处理和分析大规模数据集的技术和工具。以下是一些常见的大数据技术和工具:

Hadoop:Apache Hadoop是一个用于分布式存储和处理大规模数据的开源框架。它包括Hadoop Distributed File System(HDFS)用于数据存储和MapReduce用于数据处理。

Spark:Apache Spark是一个快速、通用的集群计算系统,提供了比MapReduce更快的数据处理能力。它支持内存计算和更多复杂的数据处理流程。

NoSQL数据库:NoSQL数据库(如MongoDB、Cassandra等)则更适用于处理这类数据。

数据仓库:数据仓库是一个用于集成和分析大规模数据的存储系统,一些知名的数据仓库包括Snowflake、Amazon Redshift等。

数据湖:数据湖是一个存储结构化和非结构化数据的存储池,用于支持数据分析和机器学习应用。

机器学习:大数据技术也广泛应用于机器学习领域,支持大规模数据的模型训练和预测分析。

流式处理:针对实时数据处理需求,流式处理技术(如Apache Kafka、Apache Flink)可以实时。

			
		

	





	

		

			

				
					
065ssm-jsp-mysql医院打卡挂号系统.zip(可运行源码+数据库文件+文档)

				
			

			

				

					04-25
				

			

		

		

			
				
        本系统采用了jsp技术,将所有业务模块采用以浏览器交互的模式,选择MySQL作为系统的数据库,开发工具选择My eclipse来进行系统的设计。基本实现了系统应有的主要功能模块,本系统有管理员、医生和用户,管理员:个人中心、公告信息管理、用户管理、科室信息管理、医生管理、预约时间段管理、出诊信息管理、在线预约管理、上班打卡管理、留言板管理、系统管理,用户:个人中心、在线预约管理、我的收藏管理。医生:个人中心、出诊信息管理、在线预约管理、上班打卡管理。前台首页:首页、公告信息、科室信息、出诊信息、留言反馈、我的、跳转到后台等操作。
        对系统进行测试后,改善了程序逻辑和代码。同时确保系统中所有的程序都能正常运行,所有的功能都能操作,并且该系统有很好的操作体验,实现了对于系统和医院双赢。

关键词:医院挂号系统;jsp;Mysql; 
				


			
		

	





	

		

			

				
					
【课件PPT】华为干部管理七步曲gl.pptx

				
			

			

				

					04-25
				

			

		

		

			
				
【课件PPT】华为干部管理七步曲gl.pptx

			
		

	





	

		

			

				
					
基于python的-23-疫情数据可视化分析系统--LW-源码.zip

				
			

			

				

					04-25
				

			

		

		

			
				
提供的源码资源涵盖了python应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。
适用人群:
适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。
使用场景及目标:
在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。
其他说明:
为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!

			
		

	





	

		

			

				
					
C#,布尔可满足性问题(Boolean Satisfiability Problem)算法与源代码

				
			

			

				

					04-25
				

			

		

		

			
				
C#,布尔可满足性问题(Boolean Satisfiability Problem)算法与源代码
1 布尔可满足性问题
布尔可满足性问题

布尔可满足性或简单的SAT是确定布尔公式是可满足还是不可满足的问题。


可满足:如果布尔变量可以赋值,使得公式为真,那么我们说公式是可满足的。

不可满足:如果无法指定此类值,则我们称公式不可满足。



2 合取范式(CNF)或也称为和积(POS)
为了更好地理解这一点,首先让我们看看什么是合取范式(CNF)或也称为和积(POS)。

CNF:CNF是子句的连词(AND),其中每个子句都是析取(OR)。

现在,2-SAT将SAT问题限制为仅表示为CNF的布尔公式,每个子句只有2个项(也称为2-CNF)。

示例:F=(A\u 1\vee B\u 1)\wedge(A\u 2\vee B\u 2)\wedge(A\u 3\vee B\u 3)\wedge。。。。。。。\楔块(A\u m\vee B\u m)

因此,2-可满足性问题可以表述为:

给定每个子句只有2个项的CNF,是否可以将这些值分配给变量,以使CNF为真?


			
		

	





	

		

			

				
					
参数名action和关键字action冲突

				
			

			

				

					06-03
				

			

		

		

			
				
例如,可以定义一个`MyActionParameter`类,然后在自定义Model绑定器中判断参数名是否为`action`,如果是则将其替换为自定义的参数名:  ```csharp public class MyActionParameter {  public string MyAction { get...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值