AntiXSS在页面使用例子

最新推荐文章于 2024-04-24 05:00:00 发布
最新推荐文章于 2024-04-24 05:00:00 发布
阅读量2.3k 收藏
点赞数
分类专栏: 漏洞修补
AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义
文章最后有antixx演示工程下载
 
antixss下载地址
aspx?id=5242">http://www.microsoft.com/download/en/details.aspx?id=5242
 
msi安装程序,安装之后,安装目录下有以下文件
AntiXSS.chm   包括类库的操作手册参数说明
HtmlSanitizationLibrary.dll    包含Sanitizer类(输入白名单)
AntiXSSLibrary.dll    包含Antixss,Encoder类(输出转义)
使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary.dll
导入命名空间using Microsoft.Security.Application;
 
1、输入白名单
调用Sanitizer.GetSafeHtmlFragment方法即可,url_c未过滤后的干净字串
 
            url = Request.QueryString["url"];
            url_c = Sanitizer.GetSafeHtmlFragment(url);
            Response.Write(url_c);
2、输出转义
 
            //HTML内容编码
            html_cont = Encoder.HtmlEncode(url);
            //html_cont = url;
 
            //HTML属性编码
            input1.Value = Encoder.HtmlAttributeEncode(url);
            //input1.Value = url;
 
            //对js进行编码
            url_c = Encoder. JavaScriptEncode(url);
            //url_c = url;
 
            //URL编码
            img1.Src = Encoder.UrlEncode(url);
            //img1.Src = url;
 
 
            XmlDocument xmlDoc;
            XmlNodeList nodeList;
 
            //XML属性编码
            isbn = Encoder.XmlAttributeEncode(Request.QueryString["isbn"]);
 
            if (isbn != null)
            {
                xmlDoc = new XmlDocument();
                xmlDoc.Load(Server.MapPath("db.xml"));
                nodeList = xmlDoc.SelectSingleNode("Employees").ChildNodes;
                foreach (XmlNode xn in nodeList)
                {
                    XmlElement xe = (XmlElement)xn;
                    if (xe.GetAttribute("genre") == "张三")
                    {
                        xe.SetAttribute("ISBN", isbn);
                    }
                }
                xmlDoc.Save(Server.MapPath("db.xml"));
            }
 
            //XML内容编码
            price = Encoder.XmlEncode(Request.QueryString["price"]);
            price = Request.QueryString["price"];
            if (price != null)
            {
                xmlDoc = new XmlDocument();
                xmlDoc.Load(Server.MapPath("db.xml"));
                nodeList = xmlDoc.SelectSingleNode("Employees").ChildNodes;
                foreach (XmlNode xn in nodeList)
                {
                    XmlElement xe = (XmlElement)xn;
                    if (xe.GetAttribute("genre") == "张三")
                    {
                        XmlNodeList nls = xe.ChildNodes;
                        foreach (XmlNode xn1 in nls)
                        {
                            XmlElement xe2 = (XmlElement)xn1;
                            if (xe2.Name == "price")
                            {
                                xe2.InnerText = price;
                            }
                        }
                    }
                }
                xmlDoc.Save(Server.MapPath("db.xml"));
            }
以下为表示层
 
<asp:Content ID="BodyContent" runat="server" ContentPlaceHolderID="MainContent">
<form action="" id="form1" method="post">
<table border="1">
<tr>
    <td width="100">类型</td>
    <td width="300">POC clickme</td>
    <td width="500">result</td>
</tr>
<tr>
    <td>HTML内容</td>
    <td><a href="?url=%3Cscript%3Ealert(xss)%3C/script%3E" >&lt;script&gt;alert(xss)&lt;/script&gt;</a></td>
    <td><pre id="h1" runat="server" ><%=html_cont %></pre></td>
</tr>
<tr>
    <td>HTML属性</td>
    <td><a href="?url=%22%20src=%22javascript:alert(xss)%22" >&quot; src=&quot;javascript:alert(xss)&quot;</a></td>
    <td><input id="input1" runat="server"/></td>
</tr>
<tr>
    <td>js</td>
    <td><a href="?url=test;alert(1);">test;alert(1);</td>
    <td>
        <script type="text/javascript">
            var url = <%=url_c %>;
        </script>
    </td>
</tr>
<tr>
    <td>URL</td>
    <td><a href="?url=javascript:alert(xss)" >javascript:alert(xss)</a></td>
    <td><img id="img1" runat="server" alt="img1" /></td>
</tr>
<tr>
    <td>XML属性编码</td>
    <td><a href="?isbn=2-3631-4" >isbn=2-3631-4</a></td>
    <td><%=isbn %></td>
</tr>
<tr>
    <td>XML内容编码 www.2cto.com</td>
    <td><a href="?price=90" >price=90</a></td>
    <td><%=price %></td>
</tr>
</table>
</form>
</asp:Content>
GavinYCF
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
antixss使用
yanzhibo的专栏IlgawME)Y*Ml
11-26 6509
AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义。 AntiXSS最新版的下载地址:http://wpl.codeplex.com 下载安装之后,安装目录下有以下文件: AntiXSS.chm:      包括类库的操作手册参数说明。 AntiXSSLibrary.dll:      包含Antixss,Encoder类(输出转义
ASP.NET AntiXSS使用
weixin_33737774的博客
12-31 546
下载类库:http://wpl.codeplex.com 添加程序集引用 在web.config文件中将AntiXSS类库注册为应用程序的编码器 在<system.web>节点添加:<httpRuntime encoderType="Microsoft.Security.Application.AntiXSSEncoder,AntiXssLib...
PHP 安全:如何防止PHP中的XSS?
最新发布
新华编程特战队
04-24 951
跨站点脚本(XSS) 是一种严重的安全漏洞,允许恶意行为者将恶意脚本引入网站,使毫无戒心的访问者处于危险之中。使用 XSS,攻击者可以在受害者的 Web 浏览器中执行任意代码,可能导致敏感数据被盗、未经授权的访问或网站污损。本文旨在深入探讨 XSS 攻击的主要形式,阐明其根本原因,探索 XSS 利用的潜在后果,并深入了解防止 PHP 中 XSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时,就会发生跨站脚本(XSS) 攻击。这些受感染的网站在不知不觉中将注入的脚本提供给毫无戒心的用户。
使用antixss防御xss
收集盒 Book box
08-02 774
本文摘要 AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义  AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 http://www.microsoft.com/download/en/details.aspx?id=524
AntiXSS - 支持Html同时防止XSS攻击
weixin_33873846的博客
06-24 226
跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的BB Code的方法。使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BB Code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准...
最新AntiXSS_V4.2.1.dll
04-01
最新版AntiXSS V4.2.1 里面有帮助文档 是英文版的 楼主官方下载的 没找中文的 不过这东西我估计也不需要怎么看中文的
AntiXss攻击防止的C#代码文件
04-01
AntiXss攻击防止的C#代码文件,AntiXss攻击防止的C#代码文件
AntiXSS-28744
05-27
AntiXSS-28744.zip 微软的xss解决插件
AntiXSS-Auditor:查找 AntiXSS 漏洞的审计助手
05-30
克隆此 repo,并通过 chrome 扩展页面手动将其加载为“未打包的扩展”。 用法 打开 Chrome DevTools 并导航到“AntiXSS-Auditor”面板。 谢谢 用于Konrad 作者 文森特·德劳内 执照 该程序是免费软件:您可以根据...
AntiXss 4.2.1.msi
12-22
使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BB Code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准格式。 为了让用户的输入更具表现力,涌现了大量的Html编辑器控件,著名的有...
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS)
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” 演示: 笔记: 使用 -不要直接使用GLOBAL-Array(例如$ _SESSION,$ _ GET,$ _ POST,$ _ SERVER) 如果需要更可配置的解决方案,请使用或 添加“内容安全策略”-> 内容安全策略简介 不要写自己的正则表达式来解析HTML! 阅读此文本-> XSS(跨站点脚本)预防备忘单 测试此工具-> Zed攻击代理(ZAP) 通过“ composer require”安装 composer require voku/anti-xss 用法:
AntiXssLibrary.dll
07-06
AntiXssLibrary.dll
AntiXssLibrary_HtmlSanitizationLibrary.zip
12-05
C# 防止跨站点脚本攻击 常用的两个dll AntiXssLibrary.dll,HtmlSanitizationLibrary.dll
MVC Anti-XSS方案
Cassaba的专栏
03-12 5279
XSS攻击是用户提交到服务器的数据包含恶意JavaScript脚本,如果这种数据在存储或显示的时候不加处理,那么其它用户访问页面的时候,这些脚本可能被执行,轻则导致页面无法正常使用,重则导致重要信息泄露。     开发Web应用程序,需要从全局考虑这个问题,采取一致的处理方式,在整个开发过程中严格执行,避免产生XSS漏洞。下面分别就Form和Json两种数据提交模式,所采取的方案做一下介绍。
Microsoft Anti-XSS库
kaosini的专栏
04-11 1053
Microsoft提供了一个免费的Anti-XSS库,这个库扩展了内置的编码方法,并为HTML特性、JavaScript、XML等提供附加的输出类型。每个输出类型(或上下文)的编码规则是不同的,由您来为内容选择合适的输出上下文。Anti-XSS库以"白名单"为工作方式,使用超过12种语言来定义一个有效的字符列表(与"黑名单"方法相比,黑名单定义了一个无效的字符、代码和命令列表)。由于Anti-XS
合天实验室xss试验实例6
我只会装360的博客
08-23 295
实例6 获取name,在php中以文本的方式输出,要构造闭合跳出””和echo, 构造” ; alert(1) ; “ 闭合前面和后面的”
使用visual studio设计一个十佳歌手投票网站
05-20
5. 安全性:可以使用参数化查询来防止 SQL 注入,使用 AntiXSS 库来防止 XSS 攻击。在服务器端增加判断逻辑来防止作弊。 以上是设计十佳歌手投票网站的一些思路和实现方法,具体实现需要根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值