XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

比如我们在表单提交的时候插入脚本代码

如果不进行处理,那么就是这种效果,我这里只是演示一个简单的弹窗

下面给大家分享一下我的解决方案。

需要用到这个库:HtmlSanitizer

https://github.com/mganss/HtmlSanitizer

新建一个过滤类。

    public class  XSS

    {

        private HtmlSanitizer sanitizer;

        public XSS()

        {

            sanitizer = new HtmlSanitizer();

            //sanitizer.AllowedTags.Add("div");//标签白名单

            sanitizer.AllowedAttributes.Add("class");//标签属性白名单,默认没有class标签属性

            //sanitizer.AllowedCssProperties.Add("font-family");//CSS属性白名单

        }

        /// <summary>

        /// XSS过滤

        /// </summary>

        /// <param name="html">html代码</param>

        /// <returns>过滤结果</returns>

        public string Filter(string html)

        {

            string str = sanitizer.Sanitize(html);

            return str;

        }

    }

新建一个过滤器

    public class FieldFilterAttribute : Attribute,IActionFilter

    {

        private XSS xss;

        public FieldFilterAttribute()

        {

            xss = new XSS();

        }

        //在Action方法之回之后调用

        public void OnActionExecuted(ActionExecutedContext context)

        {

        }

        //在调用Action方法之前调用

        public void OnActionExecuting(ActionExecutingContext context)

        {

            //获取Action参数集合

            var ps = context.ActionDescriptor.Parameters;

            //遍历参数集合

            foreach (var p in ps)

            {

                if (context.ActionArguments[p.Name] != null)

                {

                    //当参数等于字符串

                    if (p.ParameterType.Equals(typeof(string)))

                    {

                        context.ActionArguments[p.Name] = xss.Filter(context.ActionArguments[p.Name].ToString());

                    }

                    else if (p.ParameterType.IsClass)//当参数等于类

                    {

                        ModelFieldFilter(p.Name, p.ParameterType, context.ActionArguments[p.Name]);

                    }

                }                   

            }

        }

        /// <summary>

        /// 遍历修改类的字符串属性

        /// </summary>

        /// <param name="key">类名</param>

        /// <param name="t">数据类型</param>

        /// <param name="obj">对象</param>

        /// <returns></returns>

        private object ModelFieldFilter(string key, Type t, object obj)

        {

            //获取类的属性集合

            //var ats = t.GetCustomAttributes(typeof(FieldFilterAttribute), false);

            if (obj != null)

            {

                //获取类的属性集合

                var pps = t.GetProperties();

                foreach (var pp in pps)

                {

                    if(pp.GetValue(obj) != null)

                    {

                        //当属性等于字符串

                        if (pp.PropertyType.Equals(typeof(string)))

                        {

                            string value = pp.GetValue(obj).ToString();

                            pp.SetValue(obj, xss.Filter(value));

                        }

                        else if (pp.PropertyType.IsClass)//当属性等于类进行递归

                        {

                            pp.SetValue(obj, ModelFieldFilter(pp.Name, pp.PropertyType, pp.GetValue(obj)));

                        }

                    }

                }

            }

            return obj;

        }

    }
    //属性过滤器

    [FieldFilter]

    public class NoteBookController : ManageController

    {

        //笔记操作接口

        private INoteBookAppService _noteBookApp;

        public NoteBookController(INoteBookAppService noteBookApp)

        {

            this._noteBookApp = noteBookApp;

        }

        public IActionResult Tab()

        {

            return View();

        }

    }

然后在需要过滤的控制器加上过滤控制器特性就可以了。这样所有string类型的参数就都会进行过滤了。如果不需要对整个控制器进行过滤,只需要在相应的Action加上特性。

最后 点个赞吧。

.net core xss攻击防御的更多相关文章

  1. XSS攻击防御篇

    前言   上篇文章中提到了 XSS 攻击,而且,也从几个方面介绍了 XSS 攻击带来的严重影响.那么,这篇文章中,主要是针对 XSS 攻击做一个基本的防御,看看可以通过几种方式来修复这个特别常见的安全 ...

  2. .Net Core 项目中添加统一的XSS攻击防御过滤器

    一.前言 最近公司内部在对系统的安全进行培训,刚好目前手里的一个.net core 项目中需要增加预防xss的攻击,本文将大概介绍下何为XSS攻击以及在项目中如何统一的预防XSS攻击. 二.XSS简介 ...

  3. MVC WEB安全——XSS攻击防御

    XSS(跨站脚本攻击) 描述: 原理:攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到攻击用户的特殊目的. 类别: 1)被动注入(Passive Inj ...

  4. XSS 攻击实验 & 防御方案

    XSS 攻击&防御实验 不要觉得你的网站很安全,实际上每个网站或多或少都存在漏洞,其中xss/csrf是最常见的漏洞,也是最容易被开发者忽略的漏洞,一不小心就要被黑 下面以一个用户列表页面来演 ...

  5. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  6. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  7. 关于Web安全的那些事(XSS攻击)

    概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发 ...

  8. web 安全问题(二):XSS攻击

    上文说完了CSRF攻击,本文继续研究它的兄弟XSS攻击. 什么是XSS攻击 XSS攻击的原理 XSS攻击的方法 XSS攻击防御的手段 什么是XSS攻击 XSS攻击全名(Cross-Site-Scrip ...

  9. 155.XSS攻击原理

    XSS攻击: XSS(Cross Site Script)攻击叫做跨站脚本攻击,他的原理是用户使用具有XSS漏洞的网站的时候,向这个网站提交一些恶意代码,当用户在访问这个网站的某个页面的时候,这个恶意 ...

随机推荐

  1. 【sping揭秘】14、@before @AfterThrowing

    @before 基础模式,我们先直接看一下就可以了,比较简单,网上一堆... 不是我装逼哈,我学了那么久spring,aop的皮毛也就是网上的那些blog内容,稍微高级点的我也不会,这里跳过基础部分 ...

  2. Linux学习笔记之二————Linux系统的文件和目录

    一.Windows和Linux文件系统区别 1.在 windows 平台下,打开“计算机”,我们看到的是一个个的驱动器盘符: 每个驱动器都有自己的根目录结构,这样形成了多个树并列的情形,如图所示:  ...

  3. Hadoop服务库与事件库的使用及其工作流程

    Hadoop服务库与事件库的使用及其工作流程   Hadoop服务库: YARN采用了基于服务的对象管理模型,主要特点有: 被服务化的对象分4个状态:NOTINITED,INITED,STARTED, ...

  4. Java NIO中的缓冲区Buffer(一)缓冲区基础

    什么是缓冲区(Buffer) 定义 简单地说就是一块存储区域,哈哈哈,可能太简单了,或者可以换种说法,从代码的角度来讲(可以查看JDK中Buffer.ByteBuffer.DoubleBuffer等的 ...

  5. 高性能、高可用性Socket通讯库介绍 - 采用完成端口、历时多年调优!(附文件传输程序)

    前言 本人从事编程开发十余年,因为工作关系,很早就接触socket通讯编程.常言道:人在压力下,才可能出非凡的成果.我从事的几个项目都涉及到通讯,为我研究通讯提供了平台,也带来了动力.处理socket ...

  6. golang逃逸分析和竞争检测

    最近在线上发现一块代码逻辑在执行N次耗时波动很大1ms~800ms,最开始以为是gc的问题,对代码进行逃逸分析,看哪些变量被分配到堆上了,后来发现是并发编程时对一个切片并发的写,导致存在竞争,类似下面 ...

  7. MongoDB设计系列

    原创文章,如果转载请标明出处.作者. https://www.cnblogs.com/alunchen/p/9762233.html 1 前言 MongoDB作为现今流行的非关系型文档数据库,已经有很 ...

  8. SQL while循环

    ALTER Proc [dbo].[p_GetServerDataCursor] AS BEGIN IF EXISTS ( SELECT * FROM sys.objects WHERE object ...

  9. 还需要注册的是我们还有一个是“交差集” cross join, 这种Join没有办法用文式图表示,因为其就是把表A和表B的数据进行一个N*M的组合,即笛卡尔积。表达式如下:

             还需要注册的是我们还有一个是"交差集" cross join, 这种Join没有办法用文式图表示,因为其就是把表A和表B的数据进行一个N*M的组合,即笛卡尔积.表 ...

  10. WebService学习概念总结

    概念总结:WebSerevice是一种跨编程语言和跨操作系统平台的远程调用技术传输协议:HTTP技术构成:XML+XSD,SOAP,WSDL    XML封装数据格式,解决数据表示问题    XSD定 ...