正则表达式过滤HTML危险脚本

最新推荐文章于 2020-02-28 21:31:43 发布
转载 最新推荐文章于 2020-02-28 21:31:43 发布 · 827 阅读 · 0
文章标签:

#html #正则表达式 #regex #iframe #javascript #脚本

本文介绍了一种通过正则表达式去除HTML中潜在的恶意脚本代码的方法,确保用户输入的内容不会对网站造成安全威胁。

原贴:http://www.youthbar.com/more.asp?name=stoneedu&id=3771

在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。
当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。
我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例:
1. <script>标记中包含的代码
2. <a href=javascript :...中的代码
3. 其它基本控件的 on...事件中的代码
4. iframe 和 frameset 中载入其它页面造成的攻击
有了这些资料后,事情就简单多了,写一个简单的方法,用正则表达式把以上符合几点的代码替换掉:
public string wipescript(string html)
{
system.text.regularexpressions.regex regex1 = new system.text.regularexpressions.regex(@"<script[/s/s]+</script *>",system.text.regularexpressions.regexoptions.ignorecase);
system.text.regularexpressions.regex regex2 = new system.text.regularexpressions.regex(@" href *= *[/s/s]*script *:",system.text.regularexpressions.regexoptions.ignorecase);
system.text.regularexpressions.regex regex3 = new system.text.regularexpressions.regex(@" on[/s/s]*=",system.text.regularexpressions.regexoptions.ignorecase);
system.text.regularexpressions.regex regex4 = new system.text.regularexpressions.regex(@"<iframe[/s/s]+</iframe *>",system.text.regularexpressions.regexoptions.ignorecase);
system.text.regularexpressions.regex regex5 = new system.text.regularexpressions.regex(@"<frameset[/s/s]+</frameset *>",system.text.regularexpressions.regexoptions.ignorecase);
html = regex1.replace(html, ""); //过滤<script></script>标记
html = regex2.replace(html, ""); //过滤href=javascript : (<a>) 属性
html = regex3.replace(html, " _disibledevent="); //过滤其它控件的on...事件
html = regex4.replace(html, ""); //过滤iframe
html = regex5.replace(html, ""); //过滤frameset
return html;
}
此方法输入可能包含脚本的html代码,返回则就是干净的代码了。


 
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、优快云这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
javascript过滤危险脚本方法
12-03
下面是他们的字符串规则: 1、<(script|link|style|iframe)(.|\n)*<\/\1>\s* 2、\s*on[a-z]+\s*=\s*(“[^”]+”|'[^’]+’|[^\s]+)\s*(?=>) 3、\s*(href|src)\s*=\s*(“\s*(javascript|vbscript):[^”]+”|’\...
正则表达式过滤脚本的一些研究(asp.net + C#)
.NET大观
05-25 1272
在做一些网站(特别是BBS之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 HtmlEncode 和 HtmlDecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例: 1. 标记中包含的代码 2. 3. 其它基本控件的 on...事件中的代码 4.
几种常见攻击的正则表达式
weixin_33921089的博客
04-02 1099
2019独角兽企业重金招聘Python工程师标准>>> ...
谈谈ASP.NET Core MVC中预防跨站脚本攻击(xss)与跨站请求伪造(CSRF)
覃鸿宇的博客
02-28 1466
XSS Cross-Site Scripting 跨站脚本攻击:攻击者将客户端脚本注入到其他用户查看的网页中。 不被信任的数据: • HTML input • HTTP Headers • Query strings • Attributes,EXIF 信息 防止 XSS • HTML Encoding:> 变成 > < 变成 < • Razor 默认开启了 HTML...
正则表达式过滤危险HTML代码实用指南
本文围绕标题“正则表达式大全”以及描述中提到的“关于正则过滤危险html(部分),一般用到这个方面的人,这个还是错的”,结合标签“正则过滤”以及压缩包中的文件名“del_html.php”,深入探讨与之相关的知识点...
深入探讨正则表达式脚本过滤中的应用研究
在asp.net+C#环境下,使用正则表达式过滤脚本的需求非常常见,特别是在那些允许用户提交内容的网站,例如论坛(BBS)上。这些网站需要允许用户输入HTML代码以丰富网页的样式,但同时又要阻止脚本运行,以防止跨站...
防止xss和sql注入:JS特殊字符过滤正则
12-01
该函数通过正则表达式匹配并移除字符串中可能引起XSS攻击的字符。 正则表达式`/%–`~!@#$^&*()=|{}’:;’,\\[\\].<>/?~!@#¥……&*()——|{}【】‘;:”“’。,、?]/`定义了需要过滤的特殊字符集合。这个集合...
正则表达式与Rails术语全面指南
# 正则表达式与Rails术语全面指南 ## 1. 正则表达式简介 正则表达式是一种强大的文本处理工具,在Ruby等许多语言中都有应用。它就像猫咪在键盘上随意踩踏形成的字符组合,阅读起来可能颇具挑战,尤其是当表达式较长...
javascript过滤危险脚本方法.docx
01-19
javascript过滤危险脚本方法.docx
用js实现过滤script的正则
12-08
(推荐)JS正则知识点专题://www.jb51.net/article/139831.htm function stripscript(s) {      return s.replace(/[removed]/ig, ”);  }  稍微说下,高手飘过 /之间的内容/ 是js正则语句的书写开始与结束 .*?是贪婪的匹配,如果不是贪婪的就是.*匹配任何字符,但用贪婪的就是不包含>的内容 /ig 是不区分大小写和全局替换 您可能感兴趣的文章:AngularJS模糊查询功能实现代码(过滤内容下拉菜单排序过滤敏感字
php过滤危险html代码
02-07
<? function uh($str) { $farr = array( "/\s+/", //过滤多余的空白 "/]*?)>/isU", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤 "/(]*)on[a-zA-Z]+\s*=([^>]*>)/isU", //过滤javascript的on事件 ); $tarr = array( " ", "<\\1\\2\\3>", //如果要直接清除不安全的标签,这里可以留空 "\\1\\2", ); $str = preg_replace( $farr,$tarr,$str); return $str; } ?>
如何用正则表达式过滤html中所有script标签
jiaonizuoren的博客
04-23 7476
正则表达式过滤html中所有Script 的方法: 1、定义正则表达式: /<script\b[^<]*(?:(?!<\/script>)<[^<]*)*<\/script>/gi2、用正则表达式处理script的方法如下: <html> <head> <!--此处引入script脚本用于测试开始--> &lt...
htmlpurifier 过滤危险的JS代码
weixin_30729609的博客
07-17 251
在公共函数function里面 // 有选择性的过滤XSS --》 说明:性能非常低-》尽量少用function removeXSS($data){ require_once './HtmlPurifier/HTMLPurifier.auto.php'; $_clean_xss_config = HTMLPurifier_Config::createDefault(); $...
正则表达式preg_replace中危险的/e修饰符带来的安全漏洞问题
weixin_30284355的博客
08-21 518
mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) /e 修饰符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在...
过滤html代码方法
wyl232
06-09 325
public static String Html2Text(String inputString) { String htmlStr = inputString; // 含html标签的字符串 String textStr = ""; java.util.regex.Pattern p_script; java.util.regex.Matcher m_script; ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值