1.防止sql注入

 /// <summary>

        /// 分析用户请求是否正常

        /// </summary>

        /// <param name="Str">传入用户提交数据</param>

        /// <returns>返回是否含有SQL注入式攻击代码</returns>

        ///

        private bool ProcessSqlStr(string Str)

        {

            bool ReturnValue = true;

            try

            {

                if (!string.IsNullOrWhiteSpace(Str))

                {

                    Str = Str.Replace("/*", "");

                    Str = Str.Replace("*/", "");

                    Str = Str.ToLower();

                    string SqlStr = "and |exec |insert |select |delete |update |count | * |chr |mid |master |truncate |char |declare ";

                    string[] anySqlStr = SqlStr.Split('|');

                    foreach (string ss in anySqlStr)

                    {

                        if (Str.IndexOf(ss) >= )

                        {

                            ReturnValue = false;

                        }

                    }

                }

            }

            catch

            {

                ReturnValue = false;

            }

            return ReturnValue;

        }

2.防止xss注入

   private bool ProcessXSSStr(string Str)

        {

            bool ReturnValue = true;

            try

            {

                if (!string.IsNullOrWhiteSpace(Str))

                {

                    Str = Str.Replace("/*", "");

                    Str = Str.Replace("*/", "");

                    Str = Str.ToLower();

                    string[] anyXSSStr = {"javascript", "vbscript", "script","alert(","expression("

        ,"onabort", "onactivate", "onafterprint", "onafterupdate", "onbeforeactivate", "onbeforecopy", "onbeforecut", "onbeforedeactivate", "onbeforeeditfocus", "onbeforepaste", "onbeforeprint", "onbeforeunload", "onbeforeupdate", "onblur",

        "onbounce", "oncellchange", "onchange", "onclick", "oncontextmenu", "oncontrolselect", "oncopy", "oncut", "ondataavailable", "ondatasetchanged", "ondatasetcomplete", "ondblclick", "ondeactivate", "ondrag", "ondragend", "ondragenter",

        "ondragleave", "ondragover", "ondragstart", "ondrop", "onerror", "onerrorupdate", "onfilterchange", "onfinish", "onfocus", "onfocusin", "onfocusout", "onhelp", "onkeydown", "onkeypress", "onkeyup", "onlayoutcomplete", "onload",

        "onlosecapture", "onmousedown", "onmouseenter", "onmouseleave", "onmousemove", "onmouseout", "onmouseover", "onmouseup", "onmousewheel", "onmove", "onmoveend", "onmovestart", "onpaste", "onpropertychange", "onreadystatechange",

        "onreset", "onresize", "onresizeend", "onresizestart", "onrowenter", "onrowexit", "onrowsdelete", "onrowsinserted", "onscroll", "onselect", "onselectionchange", "onselectstart", "onstart", "onstop", "onsubmit", "onunload"};

                    foreach (string ss in anyXSSStr)

                    {

                        if (Str.IndexOf(ss) >= )

                        {

                            ReturnValue = false;

                        }

                    }

                }

            }

            catch

            {

                ReturnValue = false;

            }

            return ReturnValue;

        }

3.对http请求进行拦截处理,上下文根据程序进行修改

 public System.Web.Mvc.ActionResult Execute(Page_Context pageViewContext, PagePositionContext positionContext)

        {

            if (pageViewContext.ControllerContext.HttpContext.Request.Form != null)

            {

                for (int i = ; i < pageViewContext.ControllerContext.HttpContext.Request.Form.Keys.Count; i++)

                {

                    string getkeys = pageViewContext.ControllerContext.HttpContext.Request.Form.Keys[i];

                    string str = pageViewContext.ControllerContext.HttpContext.Request.Form[getkeys];

                    if (!ProcessSqlStr(str))

                    {

                        pageViewContext.ControllerContext.HttpContext.Response.Redirect("~/safe_error");

                        pageViewContext.ControllerContext.HttpContext.Response.End();

                    }

                }

            }

            if (pageViewContext.ControllerContext.HttpContext.Request.QueryString != null)

            {

                string url = pageViewContext.ControllerContext.HttpContext.Request.Url.AbsoluteUri;

                if (!ProcessXSSStr(url))

                {

                    pageViewContext.ControllerContext.HttpContext.Response.Redirect("~/safe_error");

                    pageViewContext.ControllerContext.HttpContext.Response.End();

                }

                for (int i = ; i < pageViewContext.ControllerContext.HttpContext.Request.QueryString.Count; i++)

                {

                    string getkeys = pageViewContext.ControllerContext.HttpContext.Request.QueryString.Keys[i];

                    string str = pageViewContext.ControllerContext.HttpContext.Request.Form[getkeys];

                    if (!ProcessXSSStr(getkeys))

                    {

                        pageViewContext.ControllerContext.HttpContext.Response.Redirect("~/safe_error");

                        pageViewContext.ControllerContext.HttpContext.Response.End();

                    }

                    if (!ProcessSqlStr(str))

                    {

                        pageViewContext.ControllerContext.HttpContext.Response.Redirect("~/safe_error");

                        pageViewContext.ControllerContext.HttpContext.Response.End();

                    }

                }

            }

            return null;

        }

其他方法:

antixss:      http://www.cnblogs.com/coderzh/archive/2010/06/24/1764725.html

https://msdn.microsoft.com/en-us/library/aa973813.aspx

xss漏洞修复,待完善的更多相关文章

  1. php xss漏洞修复用手段和用到的一些函数

    php xss漏洞修复用到的一些函数 $text = '<p>"Test paragraph".</p><!-- Comment --> < ...

  2. 1.5 xss漏洞修复

    1.XSS漏洞修复 从上面XSS实例以及之前文章的介绍我们知道XSS漏洞的起因就是没有对用户提交的数据进行严格的过滤处理.因此在思考解决XSS漏洞的时候,我们应该重点把握如何才能更好的将用户提交的数据 ...

  3. Struts网站基于Filter的XSS漏洞修复

    下面的代码只支持struts2框架中的xss漏洞 第一步,创建过滤器XssFilter : package com.ulic.ulcif.filter; import java.io.IOExcept ...

  4. dedecms5.7最新漏洞修复

    最近发现织梦cms被挂马现象频繁,解决好好几个网站的问题,但是过不了多久,就又被攻击了,即使更改系统及ftp密码,也没有起到防御的作用,最后怀疑cms本身漏洞,于是采用工具扫描了一下,才发现问题的严重 ...

  5. 利用窗口引用漏洞和XSS漏洞实现浏览器劫持

    ==Ph4nt0m Security Team==                        Issue 0x03, Phile #0x05 of 0x07 |=----------------- ...

  6. (汉化改进作品)BruteXSS:Xss漏洞扫描脚本

    今天给大家进行汉化改进的事一款脚本工具:BruteXSS,这款脚本能自动进行插入XSS,而且可以自定义攻击载荷. 该脚本也同时提供包含了一些绕过各种WAF(Web应用防护系统)的语句.   0×01简 ...

  7. Web常见漏洞修复建议

    一.SQL注入修复建议 1.过滤危险字符,例如:采用正则表达式匹配union.sleep.and.select.load_file等关键字,如果匹配到则终止运行. 2.使用预编译语句,使用PDO需要注 ...

  8. Xss漏洞原理分析及简单的讲解

    感觉百度百科 针对XSS的讲解,挺不错的,转载一下~   XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XS ...

  9. 教你玩转XSS漏洞

    什么是存储性XSS那? 通俗理解就是”xss“语句存在服务器上,可以一直被客户端浏览使用,所有登陆某一个存在”存储性xss“的页面的人,都会中招,可以是管理员,可以是普通的用户,所以他的危害是持续性的 ...

随机推荐

  1. 【JavaWeb】Spring+SpringMVC+MyBatis+SpringSecurity+EhCache+JCaptcha 完整Web基础框架(三)

    Spring+SpringMVC MVC呢,现在似乎越来越流行使用SpringMVC框架,我自己用的感觉,是非常好,确实很舒服,配置一开始是麻烦了一点点,但是后续的开发真的是很清爽! SpringMV ...

  2. 创建Mat对象的几种方法

    1.Mat的构造函数 Mat M(行数,列数,数据类型,通道数) eg:M(2,2, CV_8UC3, Scalar(0,0,255)). 2.利用Mat的Create()函数.Mat M; M.cr ...

  3. Believe Me , I Can !

    Believe Me , I Can ! ---DF 第一阶段:(年底1-27之前) 1.  熟练使用JavaScript/CSS/HTML,熟悉HTML5 / CSS3: 2.  熟悉JavaScr ...

  4. Oracle数据库找回密码

    Oracle数据库忘记用户的密码.经验证,可行的解决方案如下: 1.Ctrl + R 打开cmd窗口,输入 sqlplus / as sysdba  (注意/左右两侧有空格) 2.运行cmd ,输入 ...

  5. Linux 下 查看以及修改文件权限

    查看权限 在终端输入: ls -l xxx.xxx (xxx.xxx是文件名) 那么就会出现相类似的信息,主要都是这些: -rw-rw-r-- 其中: 最前面那个 - 代表的是类型 中间那三个 rw- ...

  6. 深入理解javascript原型和闭包 (转)

    该教程绕开了javascript的一些基本的语法知识,直接讲解javascript中最难理解的两个部分,也是和其他主流面向对象语言区别最大的两个部分--原型和闭包,当然,肯定少不了原型链和作用域链.帮 ...

  7. 现代软件工程作业 第二章 Github的使用

    Github的使用 创建团队 Github首页点击Create Orginazation,出现如下界面: 填写相关信息,邀请团队成员: 点击确认,创建团队完成,界面如下: 创建新的版本库 点击Crea ...

  8. 《jQuery判断radio、checkbox、select 是否选中和设置选中问题以及获取选中值》总结

    <form> <input type="radio" name="gender" id="man" value=" ...

  9. Python购物车程序

    1.要求用户输入工资,然后打印购物菜单 2.用户可以不断的购买商品,直到钱不够为止 3.退出时格式化打印用户已购买的商品和剩余金额 salary = int(input("请输入你的工资:& ...

  10. 中文编程语言Z语言开源正式开源!!!

    (Z语言基于.NET环境,源码中有很多高技术的代码,让更多的人知道对大家有会有很好的帮助,请管理员一点要批准放在首页) 本人实现的中文编程语言Z语言现在正式开源,采用LGPL协议. 编译器核心的网址为 ...