利用微软AntiXss Library过滤输出字符,防止XSS攻击

最新推荐文章于 2019-07-25 23:23:00 发布
最新推荐文章于 2019-07-25 23:23:00 发布
阅读量404 收藏 1
点赞数

假如项目在前期没有过滤客户提交的字符,那么可以在输出的时候,对输出的字符进行过滤,防止出现XSS跨域攻击。

原理简单:利用ASP.NET API的管道原理,在MessageHandlers中添加一个自定义的处理环节。

好了,源代码如下:

public class MessageFilterOutputHandler : MessageHandler
    {
        protected override async Task OutgoingMessageAsync(HttpResponseMessage message)
        {
            var ps = await message.Content.ReadAsStringAsync();
            ps = AntiXssEncoder.HtmlEncode(ps, false);
            message.Content = new StringContent(ps);
        }
    }
    public abstract class MessageHandler : DelegatingHandler
    {
        protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
        {
            var response = await base.SendAsync(request, cancellationToken);

            await OutgoingMessageAsync(response);

            return response;
        }
        protected abstract Task OutgoingMessageAsync(HttpResponseMessage message);
    }

其中,OutgoingMessageAsync方法中,利用了微软的AntiXss类库,防止输出:<script>,<iframe>等敏感字符。

另外,Global文件中,在Application_Start方法中添加,对MessageFilterOutputHandler的调用。

GlobalConfiguration.Configuration.MessageHandlers.Add(new MessageFilterOutputHandler());

 

 

文章出处:www.cnblogs.com/jizhong

 

weixin_33973600
关注
.net core xss攻击防御的方法
10-18
这个方法会检查每个属性的类型,如果属性值不为空,并且是字符串类型,则对该值调用XSS过滤器,以确保所有从外部传入的字符串内容都经过了安全处理。 通过上述方法,可以有效地防止XSS攻击,从而提高.NET Core应用...
使用antixss防御xss
收集盒 Book box
08-02 826
本文摘要 AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义  AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 http://www.microsoft.com/download/en/details.aspx?id=524
Anti-XSS Library v3.1 Released
cnbird's blog
09-21 685
The Microsoft Information Security Tools (IST) team has released the latest Microsoft Anti-Cross Site Scripting (Anti-XSS) Library version 3.1.  Read more about Anti-XSS v3.1 on the Information Securi
Microsoft 防跨站点脚本库AntiXSS Library v4.2.1
weixin_34214500的博客
02-26 215
AntiXSS 库目前处于版本 4.2.1,下载地址:http://www.microsoft.com/download/en/details.aspx?id=28589。它经历了一次非常棒的重新编写过程,并且就安全性而言,它提供了比 ASP.NET 附带的编码器更好的 HTML 编码器。 并不是说 Server.HtmlEncode 有什么问题,只是它侧重于兼容性而不是安全性。 AntiXSS ...
AntiXss 类库简介
GhostHouse
05-09 2631
AntiXss类库是一款预防注入攻击的开源类库,它通过白名单机制进行内容编码。目前它支持这些输入类型:XML,HTML,QueryString,HTMLFormURLEncode,Ldap,JavaScript。在日常的开发中我们并不会安全编码像Ldap或JavaScript这样的输入类型,大多都是对XML,QueryString或Form URL进行安全编码。下面是个安全编码XML文件的小例子:
Web Api全局预防Xss攻击
weixin_30266885的博客
07-25 847
本文转载自https://www.cnblogs.com/ruanyifeng/p/4739807.html。对第二种过滤方法的代码进行了一些修改和注释,记录一下免得以后忘了。已经测试过,应该可以直接复制到项目中直接使用了。 通过了解Web Api的pipeline机制(管道机制),发现可以在两个地方进行参数的过滤 重写DelegatingHandler的SendAsync方法进行过...
AntiXss攻击防止的C#代码文件
04-01
总之,防止XSS攻击需要开发者从多个角度进行考虑,结合输入验证、输出编码、使用安全的库以及良好的编程习惯,构建一个安全的Web应用环境。这个名为"AntiXss"的C#代码文件应该包含了实现这些策略的具体示例和函数,...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” ...
AntiXss 4.2.1.msi
12-22
跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。 但是如果想用户输入支持一些格式,怎么办?...
asp.net MVC利用ActionFilterAttribute过滤关键字的方法
10-22
- 使用反XSS库,如Microsoft的AntiXss库,以提供更全面的防护。 通过这种方式,你可以创建一个灵活且可扩展的过滤系统,为ASP.NET MVC应用程序提供更高的安全性。不过,要记住,任何过滤机制都不能完全替代全面的...
AntiXssLibrary_HtmlSanitizationLibrary.zip
12-05
C# 防止跨站点脚本攻击 常用的两个dll AntiXssLibrary.dll,HtmlSanitizationLibrary.dll
AntiXssLibrary.dll
07-06
AntiXssLibrary.dll
antixsslibrary.zip
09-08
antixsslibrary1.2-4.2版本
如何让Asp.net Web Api全局预防Xss攻击
weixin_30911451的博客
08-18 595
一、概述 二、什么是XSS 三、预防方法 四、在WebApi中如何实现   在实现之前,需要了解ASP.NET WEB API的pipeline机制。 如上,可以采用多种方式进行参数的过滤 1、重写DelegatingHandler的SendAsync方法进行过滤,结合AntiXss类库实现 using System; using System.Collect...
antixss使用
yanzhibo的专栏IlgawME)Y*Ml
11-26 6519
AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义。 AntiXSS最新版的下载地址:http://wpl.codeplex.com 下载安装之后,安装目录下有以下文件: AntiXSS.chm:      包括类库的操作手册参数说明。 AntiXSSLibrary.dll:      包含Antixss,Encoder类(输出转义
AntiXSS在页面使用例子
梦想起飞的地方.........
03-12 2382
AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 aspx?id=5242">http://www.microsoft.com/download/en/details.aspx?id=5242   msi安装程序,安装之后,安装目录下有以下文件 AntiXSS.chm   包括类库
AntiXSS Library v3.0
weixin_34356310的博客
07-16 118
namespace Microsoft.Security.Application { #region Namespaces using System; using System.Drawing; using System.Web; using System.Text; #endregion #region Namesp...
AntiXss 的几个资源
wanghu1970的专栏
05-31 134
  .  Microsoft Web Protection Library   微软安全保护库项目站点,包括 AntiXss 和 SRE 等项目。 . Anti-Cross Site Scripting Library     介绍和教程连接 . Microsoft Anti-Cross Site Scripting Librar...
Microsoft Anti-Cross Site Scripting Library V4.0
weixin_33963189的博客
10-06 79
微软反跨站脚本库4.0(AntiXSS 4.0)是一种编码库,旨在帮助开发人员避免他们基于ASP.NET Web的应用程序受到XSS攻击。不同之处在于它使用了白名单技术,从大多数编码库 - 有时被称为夹杂原则 - 对XSS攻击提供保护。这种方法首先定义一个有效的字符集,编码这个字符集之外的代码(无效的字符或潜在的攻击任何东西)。白名单的方法提供了比其他编码方案的优点是性能。 在这个微软反跨站脚本...
asp.net xss过滤
最新发布
05-25
在 ASP.NET 中,可以使用 AntiXSS 库来进行 XSS 过滤AntiXSS 库是一个 .NET Framework 库,可帮助开发人员编写安全的代码,以防止跨站点脚本攻击。 以下是在 ASP.NET 中使用 AntiXSS 库进行 XSS 过滤的步骤: 1. 安装 AntiXSS 库。可以在 Visual Studio 中通过 NuGet 包管理器安装 AntiXSS 库。 2. 在代码中引用 AntiXSS 库的命名空间。 ``` using System.Web.Security.AntiXss; ``` 3. 使用 AntiXSS 库的 `GetSafeHtmlFragment` 方法来过滤用户输入的 HTML 代码。该方法将删除所有不安全的 HTML 标记并返回一个安全的 HTML 片段。 ``` string userInput = "<script>alert('XSS attack')</script>"; string safeHtml = AntiXss.GetSafeHtmlFragment(userInput); ``` 4. 如果需要过滤用户输入的文本中的特殊字符,可以使用 AntiXSS 库的 `Encode` 方法。该方法将把特殊字符转义为它们的 HTML 实体。 ``` string userInput = "<script>alert('XSS attack')</script>"; string encodedText = AntiXss.HtmlEncode(userInput); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值