参考地址:https://www.cnblogs.com/sagecheng/p/9462239.html

测试项目:MVCDemo

一、XSS漏洞定义

  XSS攻击全称跨站脚本攻击,它允许恶意web用户将代码(如:html代码)植入到页面上,当访问到该页面时,嵌入到页面的html代码会自动执行,从而达到恶意攻击的目的。

二、解决方案

  1.新建立一个XSSHelper帮助类

     public static class XSSHelper

     {

         /// <summary>

         /// XSS过滤

         /// </summary>

         /// <param name="html">html代码</param>

         /// <returns>过滤结果</returns>

         public static string XssFilter(string html)

         {

             string str = HtmlFilter(html);

             return str;

         }

         /// <summary>

         /// 过滤HTML标记

         /// </summary>

         /// <param name="Htmlstring"></param>

         /// <returns></returns>

         public static string HtmlFilter(string Htmlstring)

         {

             string result = System.Web.HttpUtility.HtmlEncode(Htmlstring);

             return result;

         }

     }

  2.再建立一个XSSFilterAttribute过滤类

     /// <summary>

     /// XSS 过滤器

     /// </summary>

     public class XSSFilterAttribute : ActionFilterAttribute

     {

         /// <summary>

         /// OnActionExecuting

         /// </summary>

         /// <param name="context"></param>

         public override void OnActionExecuting(ActionExecutingContext context)

         {

             //获取参数集合

             var ps = context.ActionDescriptor.GetParameters();

             if (ps.Count() == )

             {

                 return;

             }

             //遍历参数集合

             foreach (var p in ps)

             {

                 if (context.ActionParameters[p.ParameterName] != null)

                 {

                     //当参数是str

                     if (p.ParameterType.Equals(typeof(string)))

                     {

                         context.ActionParameters[p.ParameterName] = XSSHelper.XssFilter(context.ActionParameters[p.ParameterName].ToString());

                     }

                     else if (p.ParameterType.Equals(typeof(Int64)))

                     {

                     }

                     else if (p.ParameterType.Equals(typeof(Int32)))

                     {

                     }

                     else if (p.ParameterType.IsClass)//当参数是一个实体

                     {

                         PostModelFieldFilter(p.ParameterType, context.ActionParameters[p.ParameterName]);

                     }

                 }

             }

         }

         /// <summary>

         /// 遍历实体的字符串属性

         /// </summary>

         /// <param name="type">数据类型</param>

         /// <param name="obj">对象</param>

         /// <returns></returns>

         private object PostModelFieldFilter(Type type, object obj)

         {

             if (obj != null)

             {

                 foreach (var item in type.GetProperties())

                 {

                     if (item.GetValue(obj) != null)

                     {

                         //当参数是str

                         if (item.PropertyType.Equals(typeof(string)))

                         {

                             string value = item.GetValue(obj).ToString();

                             item.SetValue(obj, XSSHelper.XssFilter(value));

                         }

                         else if (item.PropertyType.Equals(typeof(Int64)))

                         {

                         }

                         else if (item.PropertyType.Equals(typeof(Int32)))

                         {

                         }

                         else if (item.PropertyType.Equals(typeof(Int16)))

                         {

                         }

                         else if (item.PropertyType.IsClass)//当参数是一个实体

                         {

                             //   item.SetValue(obj, PostModelFieldFilter(item.PropertyType, item.GetValue(obj)));

                         }

                     }

                 }

             }

             return obj;

         }

     }

  3.在控制器上加上该属性,就可对传递过来的参数数值进行过滤(记得要引入对应的命名空间)

  说明:为什么要加入[ValidateInput(false)],因为用户如果加入类似<script>的话,直接就报错了,界面不友好,所以就修改为后台对输入的内容进行过滤处理。如果压根不希望用户输入类似的字符,需要也在前端进行一下验证就可以了。

安全漏洞系列(一)---XSS漏洞解决方案(C# MVC)的更多相关文章

  1. 利用窗口引用漏洞和XSS漏洞实现浏览器劫持

    ==Ph4nt0m Security Team==                        Issue 0x03, Phile #0x05 of 0x07 |=----------------- ...

  2. XSS漏洞学习笔记

    XSS漏洞学习 简介 xss漏洞,英文名为cross site scripting. xss最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的. 说白了就是想尽办法让你加载 ...

  3. Xss漏洞原理分析及简单的讲解

    感觉百度百科 针对XSS的讲解,挺不错的,转载一下~   XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XS ...

  4. 关于针对XSS漏洞攻击防范的一些思考

    众所周知,XSS几乎在最常见.危害最大的WEB漏洞.针对这个危害,我们应该怎么防范呢. 下面简单说一下思路. 作者:轻轻的烟雾(z281099678) 一.XSS漏洞是什么 XSS漏洞网上的资料太多, ...

  5. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案(转)

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  6. WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案

    对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见. 对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避 ...

  7. XSS漏洞解决方案之一:过滤器

    一:web.xml文件 <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name>   ...

  8. 为什么主流网站无法捕获 XSS 漏洞?

    二十多年来,跨站脚本(简称 XSS)漏洞一直是主流网站的心头之痛.为什么过了这么久,这些网站还是对此类漏洞束手无策呢? 对于最近 eBay 网站曝出的跨站脚本漏洞,你有什么想法?为什么会出现这样的漏网 ...

  9. 一个跨域请求的XSS漏洞

    场景回顾 一个表单进行跨域提交的方式有很多,我们使用的采用隐藏iframe,在本域下放一个代理页面,通过服务端配合完成一次完整的请求. 首先,部署proxy.html代理页面.这个页面处理服务端返回的 ...

随机推荐

  1. springboot使用vue打包过的页面资源

    (一)webpack打包 如果在vue基于webpack的,build打包后得到的是如下的资源文件: webstorm中提示如下: 这个大致的意思就是这边的文件需要放在http服务器上访问,如果直接打 ...

  2. python_数据分析_正态分布

    Kolmogorov-Smirnov 与 Shapiro-Wilk 模型正态分布检验 Spss stata R语言正态分布 install.packages("nortest") ...

  3. odoo10学习笔记十:Actions

    转载请注明原文地址:https://www.cnblogs.com/ygj0930/p/11189319.html actions定义了系统对于用户的操作的响应:登录.按钮.选择项目等. 一:窗口ac ...

  4. springcloud学习之路: (二) springcloud打jar包并批量运行

    springcloud中内置了tomcat所以打包的时候是直接把tomcat打入jar包 之后就可以做到, 单独的服务, 独立的jar包, 独立运行的效果了. 一.打jar包 1. 在pom.xml文 ...

  5. centos7 升级php7 添加配置epel源 报错:Cannot retrieve metalink for repository: epel. Please verify its path and try again

    文章来自:循序渐渐linux:基础知识 一书 7.3章LAMP服务器搭建 日常故障 centos上好多软件升级需要配置epel源 其中有一点小插曲 需要手动更改 1.很多时候,对PHP环境要求较新的版 ...

  6. python27期day18:模块和包、作业。

    1.模块和包: 我们今天来讲解一下模块和包,模块我们已经知道是什么东西了,我们现在来看看这个包是个什么? 我说的包可不是女同胞一看见就走不动的包,而是程序中一种组织文件的形式. 只要文件夹下含有__i ...

  7. LG2852/BZOJ1717 「USACO2006DEC」Milk Patterns 离散化+后缀数组

    问题描述 LG2852 题解 字符串性质:字符串\(s\)的每个字串等于每个后缀的所有前缀 对输入的东西离散化,然后把数值看做\(\mathrm{ASCII}\)后缀排序 二分答案,二分长度. 显然一 ...

  8. 每天一道Rust-LeetCode(2019-06-04)

    每天一道Rust-LeetCode(2019-06-04) 最长回文子串 坚持每天一道题,刷题学习Rust. 原题 题目描述 给定一个字符串 s,找到 s 中最长的回文子串.你可以假设 s 的最大长度 ...

  9. appium--多进程启动多设备

    前戏 在前面我们都是使用一个机器进行测试,在做app自动化的时候,我们要测不同的机型,也就是兼容性测试,如果一台一台设备去执行,那就显的太麻烦了.所以经常需要我们启动多个设备,同时跑自动化测试用例,要 ...

  10. 【转】机器学习实战之K-Means算法

    一,引言 先说个K-means算法很高大上的用处,来开始新的算法学习.我们都知道每一届的美国总统大选,那叫一个竞争激烈.可以说,谁拿到了各个州尽可能多的选票,谁选举获胜的几率就会非常大.有人会说,这跟 ...