.net跨网站脚本防范方法

最新推荐文章于 2023-08-07 10:45:00 发布
最新推荐文章于 2023-08-07 10:45:00 发布
阅读量253 收藏 1
点赞数
分类专栏: .net/C++/c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yushuir/article/details/83007513
版权

URL,post跨站攻击,就是需要过滤关键词,.net网站在根目录下新建一个文件名为Global.asax的文件,代码如下:

<%@ Application Language="C#" %>

<script runat="server">

    void Application_Start(object sender, EventArgs e)
    {
        // 在应用程序启动时运行的代码
        try
        {
            //微信接口
            
        }
        catch
        {
            System.Web.HttpContext.Current.Response.Redirect("/Err.aspx");
        }

    }

    protected void Application_BeginRequest(object sender, EventArgs e)
    {
        //验证是否盗链
        if (Request.RawUrl.Contains("images/"))
        {
            if (Request.UrlReferrer == null || !IsSameDomain(Request.UrlReferrer, Request.Url))
            {
                
                Response.ContentType = "image/jpeg";
                string path = Request.MapPath("~/daolian.jpg");
                Response.WriteFile(path);
                //结束请求
                Response.End();
            }
        }

        //遍历Post参数,隐藏域除外
        if (Regex.IsMatch(Request.RawUrl.ToLower(), @"/teacher/") == false && Regex.IsMatch(Request.RawUrl.ToLower(), @"/user/") == false && Regex.IsMatch(Request.RawUrl.ToLower(), @"/webadmin/") == false && Regex.IsMatch(Request.RawUrl.ToLower(), @"/ashx/") == false)
            for (int i = 0; i < Request.Form.Count; i++)
            {
                if (Request.Form[i].ToString() == "__VIEWSTATE") continue;
                if (IsDanger(Request.Form[i].ToString()))
                {
                    Response.Write("The content you submitted contains illegal characters that have been rejected.");
                    Response.End();
                }
            }
        //过滤所有Url中的危险字符串
        if (Request.QueryString.Count > 0 && Regex.IsMatch(Request.RawUrl.ToLower(), @".aspx") == true && Regex.IsMatch(Request.RawUrl.ToLower(), @"fckeditor") == false)//如果防止截获fckeditor正常的Url,必须验证".aspx"
        {
            string Temp = "";
            //string Url = Request.Url.AbsoluteUri.Substring(0, Request.Url.AbsoluteUri.LastIndexOf("?"));
            string Url = Request.RawUrl.Substring(0, Request.RawUrl.LastIndexOf("?"));
            for (int i = 0; i < this.Request.QueryString.Count; i++)
            {
                try
                {
                    //Temp = HandleRequestParam(this.Request.QueryString[i].ToString());
                    Temp = (this.Request.QueryString[i].ToString());
                    //Response.Write(this.Request.QueryString[i].ToString());
                    Url += i == 0 ? "?" : "&";
                    Url += Request.QueryString.Keys[i].ToString() + "=" + Temp;
                }
                catch { }
            }
            //if (Url.Length < Request.Url.AbsoluteUri.Length)
            //  Response.Redirect(Url);
            Context.RewritePath(Url);//可以用Response.Redirect和Context.RewritePath
        }

    }

    void Application_End(object sender, EventArgs e)
    {
        //  在应用程序关闭时运行的代码

    }

    void Application_Error(object sender, EventArgs e)
    {
        // 在出现未处理的错误时运行的代码

    }

    void Session_Start(object sender, EventArgs e)
    {
        // 在新会话启动时运行的代码

    }

    void Session_End(object sender, EventArgs e)
    {
        // 在会话结束时运行的代码。 
        // 注意: 只有在 Web.config 文件中的 sessionstate 模式设置为
        // InProc 时,才会引发 Session_End 事件。如果会话模式设置为 StateServer 
        // 或 SQLServer,则不会引发该事件。

    }
    //判断两个域名是否相等
    bool IsSameDomain(Uri u1,Uri u2)
    {
        return Uri.Compare(u1, u2, UriComponents.HostAndPort, UriFormat.SafeUnescaped, StringComparison.CurrentCultureIgnoreCase) == 0 ? true : false;
    }
    protected string HandleRequestParam(string str)
    {
        string RetStr = "";
        char[] strC = str.ToLower().ToCharArray();
        for (int i = 0; i < strC.Length; i++)
        {
            if (Convert.ToInt32(strC[i]) >= 48 && Convert.ToInt32(strC[i]) <= 57)
                RetStr += strC[i].ToString();
            else
                break;
        }
        return RetStr;
    }
    protected bool IsDanger(string InText)
    {
        string word = @"exec|insert|select|delete|update|master|truncate|char|declare|join|iframe.|href|script.|<|>|request";
        if (InText == null)
            return false;
        if (Regex.IsMatch(InText,word))
            return true;
        return false;
    }

</script>

 

yushuir
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.NET中隐藏带有只读Web路径的Web shell
systemino的博客
10-27 484
在最近一次渗透测试中,我发现了一个容易受到CVE-2020-1147影响的SharePoint实例。我被要求在不运行任何命令的情况下构建Web Shell,以避免任何可能部署在主机上的EDR解决方案。由于目标SharePoint服务器以最小的特权在IUSR用户下运行,因此我们不能简单地通过利用反序列化漏洞(CVE-2020-1147)在Web目录中创建Web Shell。我记得以前在运行PowerShell命令时,攻击很容易被发现,所以需要更隐蔽的方法! 这篇文章说明了当我们存在代码执行漏洞但Web目录.
警告:为了安全请不要随意将ASP.Net的validateRequest="false"
DanceFire的专栏
04-11 1万+
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: Server Error in /YourApplicationPath
Asp.Net MVC3.0中防止站的POST
Jeremiah's Wikipedia
03-14 2233
在Form中添加 @Html.AntiForgeryToken(); 在后台的Action中增加 [ValidateAntiForgeryToken]  这个方法还可以添加自定义的参数 @Html.AntiForgeryToken("SaltValue"); 后台的Action中,必需指名Token的值才允许正常提交. [ValidateAntiForgeryToke
Asp.net MVC中防止HttpPost重复提交
weixin_34205076的博客
06-12 188
重复提交的场景很常见,可能是当时服务器延迟的原因,如购物车物品叠加,重复提交多个订单。常见的解决方法是提交后把Button在客户端Js禁用,或是用Js禁止后退键等。在ASP.NET MVC 3 Web Application中 如何去防止这类HTTP-Post的重复提交呢? 我们可以借助Session,放置一个Token在View/Page上,然后在Server端去验证是不是同一个Token来判断...
Web安全相关(一):脚本攻击(XSS)
weixin_34072857的博客
01-07 119
简介  脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的Cookie,导航到恶意网站,携带木马等。 一些场景 ...
有关ASP.NET站点脚本(XSS)预防的绝对入门教程
04-11
站点脚本(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,主要发生在Web应用程序中。这种攻击方式允许攻击者将恶意脚本注入到其他用户正在查看的网页上,从而盗取用户数据、执行非授权操作或者破坏...
asp防范站点脚本攻击的的方法
10-30
下面将详细介绍几种防范ASP站点脚本攻击的方法: 1. **字符转义**: 在ASP中,可以使用`Server.HtmlEncode()`函数来转义用户输入的特殊字符,如 `、`>`、`"`等,将其转换为HTML实体,防止它们被解析为HTML标签。...
asp.net网站安全从小做起与防范小结
01-20
以下都以ASP.NET开发网站为例。 1、sql注入漏洞。 解决办法:使用存储过程,参数不要用字符串拼接。简单改进办法:使用SqlHelper和OledbHelper 2、脚本漏洞 解决办法:“默认禁止,显式允许”的策略。具体参考:...
浅析基于asp.net网站安全漏洞及防范_.netPDF_.net_
10-04
防范方法包括:使用参数化查询或存储过程,避免拼接SQL语句;对用户输入进行严格的验证和清理。 二、脚本攻击(XSS) XSS攻击是通过在网页中插入恶意脚本,使得用户在访问网页时执行这些脚本,从而盗取用户的敏感...
SQL注入和站点脚本
04-08
SQL注入和站点脚本(XSS)是两种常见的网络安全威胁,主要针对基于Web的应用程序。这篇文章将深入探讨这两种攻击方式,以及如何在C#环境中防止它们。 **SQL注入** SQL注入是一种攻击手段,攻击者通过输入恶意的...
[Asp.Net Core] 网站中的XSS脚本攻击和防范
最新发布
2201_75761617的博客
08-07 416
脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(html、javascript、css等),当用户浏览该页面时,嵌入其中的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。将危险内容过滤去除,用HTML转义字符串(Escape Sequence)表达的则保留。再次请求时,已将危险代码转成HTML转义字符串的形式。
前后端分离 Ajax Post复杂请求域,后端.NET WebApi 支持域及session
qq_33315952的博客
03-17 9297
Ajax 复杂请求,后端.NET WebApi支持域,web.config 中节点配置。
ASP.NET网站防止SQL注入攻击
weixin_34090562的博客
05-05 162
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证防止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查...
.net 脚本攻击(XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 7810
1.脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
ci框架url传递参数出现:The URI you submitted has disallowed characters
爱代码也爱生活
07-17 1791
原因:这是由于uri中存在CI不允许的字符。 解决办法: 在config/config.php文件中,找到 $config['permitted_uri_chars'] = 'a-z 0-9~%.:_/-i'; 在里面添加允许的字符。如我需要添加@符号,则可以这样: $config['permitted_uri_chars'] = 'a-z 0-9~%.:_/-i@';//或者为空即可
The header content contains invalid characters 错误
水机.Threeki
07-17 3659
The header content contains invalid characters 错误报错原因总结贴源码 环境: Nodejs v8.10.0 项目:静态资源服务器 报错信息: Administrator@PO5ZCZBM35GLZP9 MINGW64 ~/Desktop/test2/src $ node static_server.js Server is running at...
intellij idea build时出现Artifact contains illegal characters的解决
热门推荐
爬虫 的博客
01-07 6万+
intellij idea build时出现Artifact contains illegal characters的解决 此处无法创建是因为Artifact的命名为大小写混合,将大写改为小写即可正常创建
CodeIgniter URI传递参数存在不允许字符
yebanghua的专栏
04-15 2364
CI中URI传递参数时,出现:The URI you submitted has disallowed characters.错误。<br />原因:这是由于uri中存在CI不允许的字符。<br /><br /><br /><br />解决办法:<br /><br /><br />在config/config.php文件中,找到 <br />$config['permitted_uri_chars'] = 'a-z 0-9~%.:_/-i';<br /><br /><br />在里面添加允许的字符。如我需要
codeigniter框架The URI you submitted has disallowed characters错误解决方法
weixin_45866907的博客
05-09 192
codeigniter框架The URI you submitted has disallowed characters错误解决方法
ASP.NET数据库网站设计教程(C#版)[孙士保]第2章 Web窗体与Page对象.ppt
06-02
ASP.NET数据库网站设计教程(C#版)[孙士保]第2章 Web窗体与Page对象

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值