ASP.NET 下 XSS 跨站脚本攻击的过滤方法

最新推荐文章于 2023-08-22 16:04:09 发布
原创 最新推荐文章于 2023-08-22 16:04:09 发布 · 1.1w 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#AntiSamy #asp.net #ASP.NET #Asp.Net #java #Java #JAVA #webservice #WebService #Xss跨站脚本攻击

防止跨站脚本攻击(XSS)对于WEB开发至关重要,特别是涉及用户自定义内容的平台。文章介绍了如何在ASP.NET下利用基于Java的AntiSamy库来实现既能保留HTML内容,又能确保安全的过滤方法。由于.NET下的Xss过滤工具过于严格,作者将Java版的AntiSamy封装为WebService,并提供了源码和WAR包的下载链接,以便在TOMCAT 7和JDK 1.6环境下运行。通过这个WebService,ASP.NET应用可以调用过滤功能,并通过修改antisamy-config.xml配置文件来调整过滤规则。

做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。

有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、优快云这样的网站。

在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将:

<span style="color:red">文字</span>

过滤成

<span>文字</span>

而另外一些,虽然保留了很多元素,但是会有很多安全隐患,比如无法过滤这样的跨站脚本攻击: 

<div style="background-image:url(alert('xss'))">文字</div>
<img src="alert('xss too')" />

在 .net 环境下,始终找不到成熟合适的 XSS 过滤工具。

后来在找到了基于 java 开发的 AntiSamy,完全符合既保留用户输入HTML,又能保证安全的过滤工具。AntiSamy是基于白名单的技术,即只保留安全的内容,而且白名单可以让开发者进行配置。虽然AntiSamy也有.net版本,但是那是一个半成品,惨不忍睹。于是只好把Java下的AntiSamy封装成WebService,供.net程序调用。当然,这需要你有独立的服务器,虚拟主机是不行了。


以下是我封装好的 Java WebService 源码和 WAR 文件的下载地址:

源码:

最低0.47元/天 解锁文章
11.2:.NET跨站脚本攻击XSS)和跨站请求伪造(CSRF)防护(课程共5600字,3段代码举例)
小兔子平安
08-16 211
课程为我们提供了全面的知识和实践经验,使我们能够更好地保护应用程序和用户的隐私。通过不断学习和实践,我们可以在.NET应用程序的开发过程中,始终将安全性作为重要的考虑因素,并采取有效的措施来应对不断演变的安全威胁。
asp.net mvc 过滤XSS跨站脚本攻击
冻死的企鹅
08-12 1247
asp.net mvc 过滤跨站点脚本攻击拦截器 using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Text.RegularExpressions; using System.Web; namespace Org.Core.Commons { /// /// http访问拦截器模块 /// 1.过滤危险关键词 /// 2.增加安全Header
Asp.net Mvc中利用ValidationAttribute实现xss过滤
djk2045的博客
04-16 441
在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦发现提交的数据中包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这种默认的行为保证了网站的安全性,但是对于用户体验来说却不够友好,所以大多数人都希望对...
用正则表达式过滤脚本的一些研究(asp.net + C#)
.NET大观
05-25 1269
在做一些网站(特别是BBS之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 HtmlEncode 和 HtmlDecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒是收集了一些脚本攻击的实例: 1. 标记中包含的代码 2. 3. 其它基本控件的 on...事件中的代码 4.
asp-xss-filter:ASP-XSS-过滤
06-30
asp-xss-filter This is classical ASP, not ASP.NET!!!! 这是经典ASP,不是ASP.NET!!!! Transplanted from (由项目移植) Although it is written by JScript, but can also be used in VBScript.(虽然它是由JScript写的,但是在VBScript里也可以正常调用。) Install In Windows, run build.vbs, then you will get 2 files in dist. Copy the file that you need to your projects, then include it. 在Windows下,双击build.vbs,然后你会在dist目录里得到两个文件。复制你需要的文件到你的项目内,引用即
.net core xss攻击防御的方法
10-18
首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意代码会执行,可能导致用户信息泄露、账户被劫持等一系列安全...
精选资源
ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
XSS 攻击全称为跨站脚本攻击,它是一种在 Web 应用中的计算机安全漏洞。XSS 攻击允许恶意用户将代码植入到提供给其他用户使用的页面中,从而导致安全漏洞。 二、使用 HtmlSanitizer 库防御 XSS 攻击 HtmlSanitizer...
ASP防止跨站脚本和SQL注入代码
小宇飞刀的BLOG
07-22 8718
使用方法如下:1. 把以下代码保存为_safe.asp,然后放到站点根目录即可。 <% 'Code by xieyunc On Error Resume Next if request.querystring]*?>|^\+/v(8|9)|\bonmouse(over|move)=\b|\b(and|or)\b.+?(>|<|=|\bin\b|\blike\b)|/\*.+?\*/|<\s*s
asp.net mvc api如何过滤xss攻击
yunwu009的专栏
05-25 1231
这里我引用网络上的一些代码,然后我也进行了一些调整,以前在网络上搜到的只支持html字符串类型的过滤,不支持json格式的过滤,代码如下,我就不一一描述了,其实很简单,如果有什么不懂的,可以微信群加入提出讨论 public class XssActionInvoker : ApiControllerActionInvoker { private static readonly ILogger _log = LoggerFactory.Logger; public
javascript过滤XSS
05-06
javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
解析如何防止XSS跨站脚本攻击
jazywoo_在路上
11-08 1454
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。 不可信数据 不可信数据通常是来自HTTP请求的数据,以URL参数、表单字段、标头或者Cookie的形式。不过从安全角度来看,来自数据库、网络
asp.net防止XSS(脚本)攻击
lbx541575387的专栏
09-14 4392
///         /// 过滤xss攻击脚本        ///         /// 传入字符串       /// 过滤后的字符串        public string FilterXSS(string html)       {            if (
.NET MVC使用HtmlSanitizer过滤XSS攻击
fly_duck的博客
10-28 3889
什么是XSS 通过“HTML注入”篡改了网页,插入了恶意脚本,从而在用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。XSS属于客户端代码注入,通常注入代码是JavaScript。区别于命令注入,SQL注入属于服务端代码注入。 为什么要过滤XSS 最近接到维护性项目,客户反馈网站的富文本编辑器中图片无法保存,通过排除发现是客户的服务器最近设置了XSS拦截,导致带有标签<im...
谈谈ASP.NET Core MVC中预防跨站脚本攻击xss)与跨站请求伪造(CSRF)
覃鸿宇的博客
02-28 1465
XSS Cross-Site Scripting 跨站脚本攻击:攻击者将客户端脚本注入到其他用户查看的网页中。 不被信任的数据: • HTML input • HTTP Headers • Query strings • Attributes,EXIF 信息 防止 XSS • HTML Encoding:> 变成 > < 变成 < • Razor 默认开启了 HTML...
警告:为了安全请不要随意将ASP.Net的validateRequest="false"
热门推荐
DanceFire的专栏
04-11 1万+
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: Server Error in /YourApplicationPath
ASP.NET(C#)后台安全登陆代码(防XSS攻击\万能密码漏洞)
yanzhibo的专栏IlgawME)Y*Ml
02-22 9322
string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.Text.Trim(); string k8md5pwd = FormsAuthentication.HashP
ASP.NETURL地址防注入过滤问题
dcli98004的博客
08-17 577
首先在Global.asax.cs里面配置一个 提交事件 不用过滤所有的地址 过滤 GET POST的地址就行了 /// <summary> /// 防止sql注入 /// </summary> /// <param name="sender"></param> /// <param name="e"></...
Asp.Net预防XSS攻击
qq_37636786的博客
08-22 689
在网站目录下创建一个XSSFilter类2.在Global.asax的Application_BeginRequest事件中添加如下代码。在Global.asax的Application_BeginRequest事件中添加如下代码,出现异常会跳转到错误页面。
深入浅出Asp.net框架下的XSS攻击
在互联网安全领域,XSS攻击(跨站脚本攻击)是一种常见且危害严重的安全问题。XSS攻击指的是攻击者通过在网页中插入恶意脚本代码,当其他用户浏览该网页时,嵌入其中的脚本代码会被执行,从而达到非法获取用户信息、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值