ASP.NET 下 XSS 跨站脚本攻击的过滤方法

最新推荐文章于 2025-01-12 17:57:10 发布
最新推荐文章于 2025-01-12 17:57:10 发布
阅读量1.1w 收藏 4
点赞数 2
分类专栏: 代码发布 技术心得 文章标签: AntiSamy asp.net ASP.NET Asp.Net java Java JAVA webservice WebService Xss跨站脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lxfan/article/details/8162257
版权
防止跨站脚本攻击(XSS)对于WEB开发至关重要,特别是涉及用户自定义内容的平台。文章介绍了如何在ASP.NET下利用基于Java的AntiSamy库来实现既能保留HTML内容,又能确保安全的过滤方法。由于.NET下的Xss过滤工具过于严格,作者将Java版的AntiSamy封装为WebService,并提供了源码和WAR包的下载链接,以便在TOMCAT 7和JDK 1.6环境下运行。通过这个WebService,ASP.NET应用可以调用过滤功能,并通过修改antisamy-config.xml配置文件来调整过滤规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。

有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、优快云这样的网站。

在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将:

<span style="color:red">文字</span>

过滤成

<span>文字</span>

而另外一些,虽然保留了很多元素,但是会有很多安全隐患,比如无法过滤这样的跨站脚本攻击: 

<div style="background-image:url(alert('xss'))">文字</div>
<img src="alert('xss too')" />

在 .net 环境下,始终找不到成熟合适的 XSS 过滤工具。

后来在找到了基于 java 开发的 AntiSamy,完全符合既保留用户输入HTML,又能保证安全的过滤工具。AntiSamy是基于白名单的技术,即只保留安全的内容,而且白名单可以让开发者进行配置。虽然AntiSamy也有.net版本,但是那是一个半成品,惨不忍

最低0.47元/天 解锁文章
.net core xss攻击防御的方法
10-18
首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意代码会执行,可能导致用户信息泄露、账户被劫持等一系列安全...
Asp.net Mvc中利用ValidationAttribute实现xss过滤
djk2045的博客
04-16 410
在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦发现提交的数据中包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这种默认的行为保证了网站的安全性,但是对于用户体验来说却不够友好,所以大多数人都希望对...
asp.net基础-xss发贴漏洞解决方案
yaofayong的专栏
05-13 1742
asp.net基础-xss发贴漏洞解决方案 asp.net基础-xss发贴漏洞解决方案 用户发贴也存在xss的问题.将发贴内容保存到一个文本文件中,示例为降低代码的复杂性不用数据库. 我们可以对请求的数据检测,如果请求数据中有 HttpUtility.HtmlEncode就可以将字符串中的当成定义脚本的标签,而是当成"<script&gt,"p这样可以在页面上直接显示出来的内
WEB 攻防-通用漏-XSS 跨站脚本攻击-反射型/存储型/DOM&BEEF-XSS
最新发布
weixin_45534587的博客
01-12 1248
XSS攻击,全称为跨站脚本攻击,是指攻击者通过在网页中插入恶意脚本代码,当用户浏览该网页时,恶意脚本会被执行,从而达到攻击目的的一种安全漏洞。这些恶意脚本可以窃取用户的敏感信息,如Cookie、会话令牌等,或者诱导用户执行不安全的操作,如点击恶意链接、下载恶意软件等。
asp.net防止XSS(脚本)攻击
lbx541575387的专栏
09-14 4335
///         /// 过滤xss攻击脚本        ///         /// 传入字符串       /// 过滤后的字符串        public string FilterXSS(string html)       {            if (
.Net Core 防御XSS攻击
热门推荐
csdn_aspnet的专栏,请私信联系
12-29 9万+
网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?XSS攻击又称为跨站脚本XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。常见的XSS攻击有三种:反射型XSS攻击、DOM-based型XSS攻击、存储型XSS攻击。
asp.net mvc api如何过滤xss攻击
yunwu009的专栏
05-25 1177
这里我引用网络上的一些代码,然后我也进行了一些调整,以前在网络上搜到的只支持html字符串类型的过滤,不支持json格式的过滤,代码如下,我就不一一描述了,其实很简单,如果有什么不懂的,可以微信群加入提出讨论 public class XssActionInvoker : ApiControllerActionInvoker { private static readonly ILogger _log = LoggerFactory.Logger; public
.net 跨站脚本攻击XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 8214
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
XSS 攻击全称为跨站脚本攻击,它是一种在 Web 应用中的计算机安全漏洞。XSS 攻击允许恶意用户将代码植入到提供给其他用户使用的页面中,从而导致安全漏洞。 二、使用 HtmlSanitizer 库防御 XSS 攻击 HtmlSanitizer...
AntiSamy Xss跨站脚本攻击WebService War包下载
11-08
在.net环境里,一直没有好的Xss跨站脚本攻击过滤工具,于是将Java下的AntiSamy封装成了WebService,供.net程序调用。 运行环境是TOMCAT 7,JDK 1.6。 将War包复制到Tomcat安装目录下的webapps目录,然后启动Tomcat...
asp防范跨站脚本攻击的的方法
10-30
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本ASP(Active Server Pages)是一种微软开发的服务器端脚本语言,用于创建动态网页。由于...
ASP源码—修补跨站脚本攻击漏洞.zip
11-03
综上所述,这个压缩包文件应该是为ASP开发者提供的一套用于修复XSS漏洞的资源或教程,涵盖了识别、预防和修复跨站脚本攻击方法。对ASP开发者来说,理解和应用这些知识点是确保其网站安全的关键步骤。
警告:为了安全请不要随意将ASP.Net的validateRequest="false"
DanceFire的专栏
04-11 1万+
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: Server Error in /YourApplicationPath
ASP Xss白名单过滤实例
qiufengwuxiu的博客
01-04 736
Function AntiXSS_VbsTrim(s)     AntiXSS_VbsTrim=Trim(s) End Function      %>     //原GITHUB:https://github.com/leizongmin/js-xss/blob/master/index.js     //过滤XSS攻击 @author 老雷     //转换到ASP by z
Web安全测试之XSS
baidu_32042953的博客
11-12 628
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。 1、如何测试XSS漏洞 方法一:  查看代码,查找关键的变量,   客户端将数据传送给Web
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)_xss绕过
weixin_42340783的博客
06-11 1609
尽管许多网站实施了输入过滤措施来防止跨站脚本XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
常见的绕过XSS过滤方法
小白渣的博客
03-02 1万+
xss绕过过滤方法 很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的...
Web安全之XSS攻击
m0_74131821的博客
04-05 458
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞
xss攻击突破转义_WEB安全之XSS攻击方式与防御方式
weixin_39520393的博客
11-21 928
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值