xxs过滤

最新推荐文章于 2024-11-08 16:35:07 发布
最新推荐文章于 2024-11-08 16:35:07 发布
阅读量666 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wzx_it/article/details/17436093
本文介绍了一种XSS过滤器的实现方式,该过滤器通过预定义的关键字和正则表达式来检测并清除潜在的XSS攻击代码。支持多种类型的HTML标签过滤,包括但不限于script、iframe等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    /// <summary>
    /// Xss过滤器
    /// </summary>
    public class XssCleaner
    {
        private static List<KeyValuePair<string, Regex>> injectWords = new List<KeyValuePair<string, Regex>>();

        /// <summary>
        /// 静态构造函数
        /// </summary>
        static XssCleaner()
        {
            #region 关键字(可任意变更,不区分大小写)
            injectWords.Add(new KeyValuePair<string, Regex>(@"alert", new Regex(@"alert\(.*\)", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"javascript", new Regex(@"javascript", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"document.", new Regex(@"document\.", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"script", new Regex(@"<\s*script.*>.*<\/\s*script\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"script", new Regex(@"<\s*script.*/\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"applet", new Regex(@"<\s*applet.*>.*<\/\s*applet\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"applet", new Regex(@"<\s*applet.*/\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"frameset", new Regex(@"<\s*frameset.*>.*<\/\s*frameset\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"frameset", new Regex(@"<\s*frameset.*/\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"iframe", new Regex(@"<\s*iframe.*>.*<\/\s*iframe\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"iframe", new Regex(@"<\s*iframe.*/\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"frame", new Regex(@"<\s*frame.*>.*<\/\s*frame\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"frame", new Regex(@"<\s*frame.*/\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"img", new Regex(@"<\s*img.*>.*<\/\s*img\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"img", new Regex(@"<\s*img.*/\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"link", new Regex(@"<\s*link.*>.*<\/\s*link\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"link", new Regex(@"<\s*link.*/\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"object", new Regex(@"<\s*object.*>.*<\/\s*object\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"object", new Regex(@"<\s*object.*/\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"style", new Regex(@"<\s*style.*>.*<\/\s*style\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            injectWords.Add(new KeyValuePair<string, Regex>(@"style", new Regex(@"<\s*style.*/\s*>", RegexOptions.Compiled | RegexOptions.IgnoreCase)));
            #endregion

            #region 符号(可任意变更,不区分大小写)

            #endregion
        }

        /// <summary>
        /// 过滤
        /// </summary>
        /// <param name="input">输入</param>
        /// <returns>输出</returns>
        public static string Clean(string input)
        {
            if (string.IsNullOrWhiteSpace(input))
            {
                return input;
            }
            injectWords.ForEach(injectWord =>
            {
                var startIndex = input.IndexOf(injectWord.Key, StringComparison.CurrentCultureIgnoreCase);

                if (startIndex >= 0)
                {
                    input = injectWord.Value.Replace(input, string.Empty);
                }
            });
            return input;
        }
    }
定义一个java全局过滤器,处理xss攻击
猿脑2.0的博客
06-14 519
请注意,这个过滤器只是一个基本的示例,实际的XSS防护可能需要更复杂的策略,包括但不限于使用更全面的清理库、配置HTTP头部以防止某些类型的XSS攻击(如Content Security Policy)等。此外,XSS防护应该是一个多层次的方法,包括客户端和服务器端的验证和清理。在Java中编写一个XSS(跨站脚本攻击)过滤器通常涉及创建一个过滤器类,该类会拦截传入的请求和响应,并清理可能包含恶意脚本的内容。方法,以确保所有的输入参数都被清理掉潜在的XSS攻击代码。)来清理字符串,以防止脚本注入。
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
Springboot设置跨域---防止sql注入---xxs过滤---整合Swagger---自定义统一返回数据和自定义异常处理 异常处理 的config配置
weixin_52457750的博客
11-19 490
Springboot设置跨域---防止sql注入---xxs过滤---整合Swagger---自定义统一返回数据和自定义异常处理 异常处理 的config配置
pikachu之xxs过滤
ljn176118045的博客
12-26 388
猜测script被过滤,换成<ScRiPT>alert("111")</ScRIPT>首先,试试<script>;
filter防止xxs攻击
maxchenBug的博客
02-20 330
filter防止xxs攻击 什么是XSS攻击? XSS攻击使用Javascript脚本注入进行攻击 例如在表单中注入: &lt;script&gt;location.href='http://www.itmayiedu.com'&lt;/script&gt; 注意:谷歌浏览器 已经防止了XSS攻击,为了演示效果,最好使用火狐浏览器 fromToXs...
xss过滤
hit、run
11-30 1516
private String xssEncode(String value) { if (value == null || value.isEmpty()) { return value; } value = value.replaceAll("eval\\((.*)\\)", ""); ...
layui table设置前台过滤转义等方法
10-18
在Web开发中,前台过滤和转义是提升用户界面友好性和保护网站安全性的常见实践。LAYUI是一个前端UI框架,它提供了一套方便的组件和工具来构建美观、易用的网页。本文将围绕LAYUI框架中的table组件进行探讨,解析如何...
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
java的xxsProtect过滤xss
05-19
XXSProtect通过过滤输入数据,防止恶意代码在网页上被执行。 在提供的描述中,我们看到XXSProtect的实现包括以下几个关键部分: 1. **XSS/bin**: 这个文件夹包含了所有必要的jar包,这些jar包可能包含XXSProtect的...
CodeIgniter框架过滤HTML危险代码
12-19
为了防止这种情况,我们需要在接收到用户输入的数据时进行适当的过滤和编码。 1. 使用`htmlspecialchars()`函数过滤: `htmlspecialchars()` 是PHP的一个内置函数,它将特殊字符转换为HTML实体,防止它们被浏览器...
XSS跨站点脚本攻击
11-23 337
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 以下为Java web项目中的解决方案: Filter代码: import java.io.IOException; import javax.servlet.Filter; i...
Xss过滤
weixin_43326384的博客
11-30 731
package com.my.filter; import com.my.bean.XssRequest; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.ser...
关于XSS过滤
lanisa的专栏
10-30 1771
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全】JavaScript防XSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
XSS过滤器Filter实现
开发随笔-猫咪酱
11-08 3053
针对xxs攻击实现XssFilter实战,后端全代码解析。其中包括过滤器实现代码和配置类以及ApplicationContextUtils、multipartResolver配置
XSS过滤速查表
Fizz`s Blog
11-12 3469
初见于Freebuf,放在这里收藏一下。 就是OWASP的速查表 不过是中文的 1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWASP维护和完善它。OWASP
保姆级教学 XSS攻击的过滤
m0_59206144的博客
06-07 1919
过滤策略:把特殊字符转为HTML实体编码, 这样存在数据库里较安全 返回给前端时会被js解析为正常字符,不影响查看
springboot-过滤器与xxs攻击防御
qq_42058998的博客
05-11 6994
过滤器解决XXS(脚本注入) 1.实现Filter接口 public class XssFilter implements Filter { @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { XssReque
XSS代码分析-和简单的过滤,学习笔记
ZhangAweio的博客
04-05 531
PHP环境。
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
热门推荐
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、优快云这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
.net core有没有集成好的中间件可以过滤xxs
最新发布
06-10
<think>嗯,用户之前询问过jsoup和HTML编码器,现在转向.NETCore的XSS防御中间件问题,说明他可能正在构建一个需要多层次安全防护的Web应用。用户的技术水平应该不错,因为连续问的都是比较具体的防御实现方案。关于.NETCore的XSS中间件,确实需要分几个层面来思考。首先框架本身内置了编码器,这在处理普通字符串输出时很有效,比如直接使用IHtmlEncoder接口或者Razor的@语法自动编码。但对于富文本场景,用户可能需要类似jsoup的HTML净化能力,这时候就得推荐第三方库了。突然想到用户之前特别关注过jsoup的净化机制,现在问.NET的方案,可能是项目技术栈切换了。在.NET生态里,AngleSharp虽然解析能力强,但净化功能不如专业的HtmlSanitizer库全面——后者支持白名单机制和CSS过滤,这点和jsoup很像。啊,差点忘记用户问的是“中间件”这个特定形式。严格来说.NET没有官方中间件,但可以建议用户用自定义中间件包装HtmlSanitizer的处理逻辑。代码示例要着重展示三个关键点:注册服务的生命周期、中间件的管道拦截点、以及如何区分普通文本和HTML的不同处理策略。用户可能会忽略编码器和净化器的适用场景差异,需要再强调下:普通表单用框架自带的编码器足够,但评论区富文本必须用HtmlSanitizer。另外那个禁用特殊字符的中间件例子可能有点极端,不过对于高安全场景确实有效。最后想到个隐患:用户若直接复用代码示例,可能会漏掉JSON请求的场景。应该在建议里补充说明Content-Type检测的问题,避免XSS通过API注入。</think> 在.NET Core中,**没有官方内置的中间件(Middleware)专门用于XSS过滤**,但框架提供了多重安全机制协同防御XSS攻击,以下是关键实现方案: --- ### 🔒 一、核心防御机制 #### 1. **自动HTML编码(第一道防线)** - **Razor视图引擎**自动转义动态输出 例:`@Model.UserInput` 中的`<script>`会被转义为`<script>` - **手动编码支持**: ```csharp @Html.Encode(Model.UserInput) // MVC视图 _encoder.Encode("unsafe string") // 注入IHtmlEncoder服务 ``` 输出安全原理: `$输入$:<div onclick="alert(1)">` `$输出$:<div onclick="alert(1)">`[^1] #### 2. **请求验证中间件(默认启用)** - **功能**:拦截包含危险标记的请求(如`<script>`) - **触发场景**: ```http POST /submit-form HTTP/1.1 Content-Type: application/x-www-form-urlencoded content=<script>alert(1)</script> // 返回400错误 ``` - **关闭方法(不推荐)**: ```csharp services.Configure<RequestValidationOptions>(options => options.DisableHtmlAttributeValidation = true); ``` --- ### 🔧 二、高级场景解决方案 #### 1. **富文本净化(需第三方库)** - **推荐库**:`HtmlSanitizer`(类似Jsoup的.NET实现) ```csharp var sanitizer = new HtmlSanitizer(); sanitizer.AllowedTags.Add("div"); // 白名单控制 string safeHtml = sanitizer.Sanitize(rawHtml); ``` `$输入$:<div><script>test</script><b>安全文本</b></div>` `$输出$:<div><b>安全文本</b></div>`[^2] #### 2. **自定义中间件示例** 实现基础XSS过滤中间件: ```csharp public class XssFilterMiddleware { private readonly RequestDelegate _next; public XssFilterMiddleware(RequestDelegate next) => _next = next; public async Task Invoke(HttpContext context) { context.Request.EnableBuffering(); // 允许重复读取Body using var reader = new StreamReader(context.Request.Body); var rawContent = await reader.ReadToEndAsync(); // 简易危险字符过滤 (实际项目需用正则/解析器) var sanitized = rawContent.Replace("<", "<").Replace(">", ">"); var ms = new MemoryStream(Encoding.UTF8.GetBytes(sanitized)); context.Request.Body = ms; await _next(context); } } ``` 注册中间件: ```csharp app.UseMiddleware<XssFilterMiddleware>(); ``` --- ### ⚠️ 三、关键注意事项 1. **编码器局限性**: 无法处理属性内的恶意代码(如`<a href="javascript:alert(1)">`),需配合**URL验证** 2. **内容类型区分**: - 纯文本输出:使用`HtmlEncoder` - JSON API:用`System.Text.Json`的自动转义(`JsonSerializer`) 3. **富文本存储**: **先净化再存储**,而非仅依赖输出编码 --- ### 🔍 四、官方推荐实践 | 防御层 | 实现方式 | |----------------|----------------------------------| | 输入验证 | 模型验证 + 正则表达式 | | 存储净化 | HtmlSanitizer + 白名单策略 | | 输出编码 | Razor自动编码 / IHtmlEncoder | | Cookie安全 | `[ValidateNever]`忽略敏感属性 | > 📌 **最佳实践**: > ```mermaid > graph LR > A[用户输入] --> B[模型验证] > B --> C{是否为HTML?} > C -- 是 --> D[HtmlSanitizer净化] > C -- 否 --> E[输入格式化] > D --> F[数据库存储] > E --> F > F --> G[Razor自动编码输出] > ``` --- ### ❓ 相关问题 1. 如何在Web API中防御JSON注入导致的XSS? 2. 使用`HtmlSanitizer`时如何配置允许的CSS样式? 3. Blazor框架的XSS防御机制与MVC有何不同? 4. 如何验证URL属性(如`href/src`)以防止JavaScript协议攻击? [^1]: 基于ASP.NET Core安全文档的输入输出编码规范 [^2]: HtmlSanitizer白名单策略参考Github文档
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值