AntiXSS - 支持Html同时防止XSS攻击

最新推荐文章于 2023-03-11 00:45:00 发布
最新推荐文章于 2023-03-11 00:45:00 发布
阅读量227 收藏
点赞数
文章标签: 数据库 javascript ViewUI

跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。

但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的BB Code的方法。使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BB Code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准格式。

为了让用户的输入更具表现力,涌现了大量的Html编辑器控件,著名的有FCKEditorFreeTextBoxRich TextBoxCute EditorTinyMCE等等。比如,博客园的后台发随笔就支持Cute Editor和TinyMCE,我个人比较喜欢Cute Editor,功能强大,性能不错,而且容易定制。

使用这些Html编辑器控件的潜在危险,是用户可能会输入一些危险字符,注入到网站中,形成XSS攻击。一个最简单的输入就是:


< javascript > alert( ' xss ' ) < / javascript>

如何防止呢?大致思路有三种:
1. 正则表达式的白名单过滤机制。
2. 正则表达式的黑名单替换机制。
3. 通过DOM对象过滤白名单和黑名单的标签。

下面这个地址列举了很多这样的过滤方法:
http://refactormycode.com/codes/333-sanitize-html

不过,我试了上面链接里的一些方法,并不是很好用。有一个更简单好用的东西,就是 AntiXSS,由微软推出的用于防止XSS攻击的一个类库。它的实现原理也是使用白名单机制,不过这个白名单对我们来说是一个黑盒,我用reflector粗略看了一下,也没找到所谓的白名单在哪里。不过,这个库确实很好用。

一个MSDN里图文并茂的使用说明: http://msdn.microsoft.com/en-us/library/aa973813.aspx

其实我用的很简单,就是 AntiXss.GetSafeHtmlFragment(html)方法,这个方法会替换掉html里的危险字符。比如:

var html  =   " <a href=\ " #\ "  οnclick=\ " alert();\ " >aaaaaaaaa</a>javascript<P><IMG SRC=javascript:alert('XSS')><javascript>alert('a')</javascript><IMG src=\ " abc.jpg\ " ><IMG><P>Test</P> " ;

 string  safeHtml  =   AntiXss.GetSafeHtmlFragment (html);
Console.WriteLine(safeHtml);

上面的危险内容被成功替换,返回的内容是:

< href ="" > aaaaaaaaa </ a > javascript
 < p >< img  src ="" > alert('a') < img  src ="abc.jpg" >< img ></ p >
< p > Test </ p >

嗯,非常安全。然后,又有一个疑问了,是应该将用户的输入过滤之后写入数据库呢?还是在输出界面显示的时候进行过滤?其实,通常来讲,在输出界面显示的时候进行过滤就够了,将用户输入过滤后写入数据库不是很必要,因为即使这样也无法保证数据库中没有危险的数据。当然,上个双保险也没有什么不好的。

weixin_33873846
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
antixss使用
yanzhibo的专栏IlgawME)Y*Ml
11-26 6510
AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义。 AntiXSS最新版的下载地址:http://wpl.codeplex.com 下载安装之后,安装目录下有以下文件: AntiXSS.chm:      包括类库的操作手册参数说明。 AntiXSSLibrary.dll:      包含Antixss,Encoder类(输出转义
保存html标签并且防止xss,前端如何避免XSS攻击
weixin_39762001的博客
06-15 1151
什么是 XSSCross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 分类类型存储区插入点存储型XSS后端数据库HTML反射型 XSSURLHTMLDOM 型 XSS后端数据库/前端存储/UR...
使用antixss防御xss
收集盒 Book box
08-02 781
本文摘要 AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义  AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 http://www.microsoft.com/download/en/details.aspx?id=524
HtmlEncode和JavaScriptEncode(预防XSS
高级项目经理、专注于技术架构、分享项目管理及职场心得
06-20 3467
在数据添加到DOM时候,我们可以需要对内容进行HtmlEncode或JavaScriptEncode,以预防XSS攻击。 JavaScriptEncode 使用“\”对特殊字符进行转义,除数字字母之外,小于127的字符编码使用16进制“\xHH”的方式进行编码,大于用unicode(非常严格模式)。 //使用“\”对特殊字符进行转义,除数字字母之外,小于127使用16进制“\xHH”的方...
【愚公系列】2023年03月 .NET CORE工具案例-基于AntiXssUF的跨脚本XSS中间件
时光隧道
03-11 8648
XSS是一种跨站脚本攻击攻击者通过在网页中注入恶意脚本,从而获取用户的敏感信息或者控制用户的浏览器。XSS 的应用场景和案例包括但不限于:窃取用户的 Cookie、密码等敏感信息,篡改网页内容,进行钓鱼攻击,控制用户浏览器等。其中,最常见的 XSS 攻击是通过在网站中注入恶意脚本,使得用户在访问该网站时执行该脚本,从而达到攻击的目的。
AntiXss 类库简介
GhostHouse
05-09 2619
AntiXss类库是一款预防注入攻击的开源类库,它通过白名单机制进行内容编码。目前它支持这些输入类型:XML,HTML,QueryString,HTMLFormURLEncode,Ldap,JavaScript。在日常的开发中我们并不会安全编码像Ldap或JavaScript这样的输入类型,大多都是对XML,QueryString或Form URL进行安全编码。下面是个安全编码XML文件的小例子:
AntiXss攻击防止的C#代码文件
04-01
在C#开发中,防止XSS攻击是保证Web应用安全的重要环节。这个压缩包文件“AntiXss”很可能包含了一些用于防御XSS攻击的C#代码示例。 首先,我们需要理解XSS的类型:反射型XSS、存储型XSS和DOM型XSS。反射型XSS是通过...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” ...
AntiXss 4.2.1.msi
12-22
使用这些Html编辑器控件的潜在危险,是用户可能会输入一些危险字符,注入到网站中,形成XSS攻击。一个最简单的输入就是: <javascript>alert('xss') 如何防止呢?大致思路有三种: 1. 正则表达式的白名单...
最新AntiXSS_V4.2.1.dll
04-01
AntiXSS Library是Microsoft为防止XSS攻击而设计的一套编码库,其核心目标是帮助开发人员创建更安全的Web应用程序。在V4.2.1这个版本中,微软继续优化了其安全策略,提升了编码效率,同时保持了对最新威胁的防御能力...
Demo_ASP_XSS
03-20
【ASP与XSS简介】 ASP(Active Server Pages)是由微软公司开发的一种服务器端脚本环境,主要用于构建动态交互式网站。...通过深入研究,开发者不仅可以理解XSS攻击的工作原理,还能掌握防止此类攻击的实际方法。
AntiXSS防止跨站脚本攻击
博妍工作室
04-06 945
AntiXSS,由微软推出的用于防止XSS攻击的一个类库。它的实现原理也是使用白名单机制。 接下来的表格将帮助你决定使用哪个编码函数: 编码函数 应该使用的场景 示例/模式 HtmlEncode 不可信的输入被用作html输出,被分配给一个html属性除外 Click Here [Untrusted input
MVC Anti-XSS方案
mituan1234567的专栏
06-11 483
http://blog.csdn.net/cassaba/article/details/21094011 XSS攻击是用户提交到服务器的数据包含恶意JavaScript脚本,如果这种数据在存储或显示的时候不加处理,那么其它用户访问页面的时候,这些脚本可能被执行,轻则导致页面无法正常使用,重则导致重要信息泄露。     开发Web应用程序,需要从全局考虑这个问题,采取一致的处理方式,在
防止基本的XSS攻击 滤掉HTML标签
weixin_34185512的博客
07-15 643
/** * 防止基本的XSS攻击 滤掉HTML标签 * 将HTML的特殊字符转换为了HTML实体 htmlentities * 将#和%转换为他们对应的实体符号 * 加上了$length参数来限制提交的数据的最大长度 */ function transform_HTML($string, $length = null) {   // Helps pr...
html代码不安全,安全 – HTML编码是否会阻止各种XSS攻击
weixin_42514002的博客
06-08 238
没有。抛开允许一些标签(不是真正的问题的点)的主题,HtmlEncode简单地不涵盖所有XSS攻击。例如,考虑服务器生成的客户端javascript – 服务器动态输出htmlencoded值直接到客户端javascript,htmlencode将不会停止注入脚本执行。接下来,考虑以下伪代码: id=textbox>现在,如果它不是立即显而易见的,如果somevar(由用户发送,当然)设置为...
为啥进行html标签编码可以防止XSS
zwbHUST的博客
12-10 2385
众所周知,html字符编码可以防止大部分的XSS攻击。一直以来有一个疑问,为什么对编码解码为<script></script>后,不会进行对此标签继续进行解析呢? 一定有一些底层的原理来解释这个问题。 解释如下: HTML解析器以状态机的方式运行,它从文档输入流中消耗字符并根据其转换规则转换到不同的状态。 示例: <html> <body> Hello world </body> </html> 1、 初始状
HTML表单提交的安全问题
weixin_33769125的博客
02-26 727
&lt;form&gt;元素定义了如何发送数据。它的所有属性都是为了让您配置当用户点击提交按钮时发送的请求。两个最重要的属性是action和method。 action属性 这个属性定义了发送数据要去的位置。它的值必须是一个有效的URL。如果没有提供此属性,则数据将 被发送到包含表单的页面的URL method属性 该属性定义了如...
ThinkPhp6防止XSS攻击
Xian_Hu的博客
12-17 652
因为 tp6 框架已经自带转化危险标签 所以我们要进行过滤掉危险标签 第一步: 安装composer安装插件来处理 composer require ezyang/htmlpurifier 第二步: 将代码放置在公共文件中 // 过滤危险标签:防SS攻击 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string) { ...
Asp.net Mvc中利用ValidationAttribute实现xss过滤
mituan1234567的专栏
06-11 486
http://www.2cto.com/kf/201404/293640.html 在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦发现提交的数据中包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这种默认的行为保证了网
asp.net xss过滤
最新发布
05-25
在 ASP.NET 中,可以使用 AntiXSS 库来进行 XSS 过滤。AntiXSS 库是一个 .NET Framework 库,可帮助开发人员编写安全的代码,以防止跨站点脚本攻击。 以下是在 ASP.NET 中使用 AntiXSS 库进行 XSS 过滤的步骤: 1. 安装 AntiXSS 库。可以在 Visual Studio 中通过 NuGet 包管理器安装 AntiXSS 库。 2. 在代码中引用 AntiXSS 库的命名空间。 ``` using System.Web.Security.AntiXss; ``` 3. 使用 AntiXSS 库的 `GetSafeHtmlFragment` 方法来过滤用户输入的 HTML 代码。该方法将删除所有不安全的 HTML 标记并返回一个安全的 HTML 片段。 ``` string userInput = "<script>alert('XSS attack')</script>"; string safeHtml = AntiXss.GetSafeHtmlFragment(userInput); ``` 4. 如果需要过滤用户输入的文本中的特殊字符,可以使用 AntiXSS 库的 `Encode` 方法。该方法将把特殊字符转义为它们的 HTML 实体。 ``` string userInput = "<script>alert('XSS attack')</script>"; string encodedText = AntiXss.HtmlEncode(userInput); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值