热门标签
热门文章
- 1VALL-E:微软全新语音合成模型可以在3秒内复制任何人的声音_哪个ai模型可以将文本转语音
- 2下载vue-element-admin文件,最直接解决报错的方法_vue-element-admin压缩包
- 3垃圾识别分类小程序_微信开发者工具中如何运用百度ai开发平台进行拍照识别进行垃圾分类
- 4【中英文翻译神器】英文文献很难搞?小编一招完胜它‘我要悄悄地学英语,然后惊艳所有人~’_trueyvc
- 5运行报错error: (-215:Assertion failed) !ssize.empty() in function 'cv::resize'_ros /modules/imgproc/src/resize.cpp:4045: error: (
- 6【机器翻译machine translation】
- 7[技术杂谈][转载]cuda下载官方通道_cuda toolkit 9.0 csdn下载
- 8Vercel - 一个强大的 Deployment Platform_vercel 协作
- 9解决win下vs+yolov3使用Dll载入图片和载入Mat检测出来效果不一致的问题。_std::vector
- 10f5双机配置_F5负载均衡器双机切换机制及配置
当前位置: article > 正文
.net 跨站脚本攻击(XSS)漏洞的解决方案_跨站脚本攻击(xss)漏洞解决方案
作者:AllinToyou | 2024-03-30 02:14:57
赞
踩
跨站脚本攻击(xss)漏洞解决方案
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie
2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。
危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。
解决方案:
1、避免XSS的方法之一主要是将用户所提供的内容输入输出进行过滤。ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library。
2、整体网站的过滤处理,下面是通用处理方法。
首先在项目下创建一个XSSFilter类,这是ASP.NET创建网站时默认存储类的文件夹
- using System;
- using System.Collections.Generic;
- using System.Linq;
- using System.Web;
- using System.Text.RegularExpressions;
-
- /// <summary>
- ///XSSFilter 的摘要说明
- /// </summary>
- public class XSSFilter
- {
- public XSSFilter() { }
-
- private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
- public static bool PostData()
- {
- bool result = false;
- try
- {
- for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
- {
- result = CheckData(HttpContext.Current.Request.Form[i].ToString());
- if (result)
- {
- break;
- }
- }
- }
- catch (HttpRequestValidationException ex)
- {
- return true;
- }
- return result;
- }
-
- public static bool GetData()
- {
- bool result = false;
- try
- {
- for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
- {
- result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());
- if (result)
- {
- break;
- }
- }
- }
- catch (HttpRequestValidationException ex)
- {
- return true;
- }
- return result;
- }
-
- public static bool CookieData()
- {
- bool result = false;
- try
- {
- for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)
- {
- result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());
- if (result)
- {
- break;
- }
- }
- }
- catch (HttpRequestValidationException ex)
- {
- return true;
- }
- return result;
-
- }
-
- public static bool referer()
- {
- bool result = false;
- return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());
- }
-
- public static bool CheckData(string inputData)
- {
- if (Regex.IsMatch(inputData, StrRegex))
- {
- return true;
- }
- else
- {
- return false;
- }
- }
- }
然后在Global.asax的Application_BeginRequest事件中添加如下代码:
- void Application_BeginRequest(object sender, EventArgs e)
- {
- if (Request.Cookies != null)
- {
- if (XSSFilter.CookieData())
- {
- Response.Write("您提交的Cookie数据有恶意字符!");
- Response.End();
- }
- }
- if (Request.UrlReferrer != null)
- {
- if (XSSFilter.referer())
- {
- Response.Write("您提交的Referrer数据有恶意字符!");
- Response.End();
- }
- }
- if (Request.RequestType.ToUpper() == "POST")
- {
- if (XSSFilter.PostData())
- {
- Response.Write("您提交的Post数据有恶意字符!");
- Response.End();
- }
- }
- if (Request.RequestType.ToUpper() == "GET")
- {
- if (XSSFilter.GetData())
- {
- Response.Write("您提交的Get数据有恶意字符!");
- Response.End();
- }
- }
- }
https://www.lookweb.cn/develop/9.html
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/AllinToyou/article/detail/338594
推荐阅读
相关标签
