跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。

很多时候,我们并不需要屏蔽所有的HTML标签,或者,我们需要设置某些属性支持的HTML标签字符串。还好,框架中封装了相关的特性,以便你直接拿来使用。

命名空间:Magicodes.WeiChat.Infrastructure.MvcExtension.Filters

类名:AntiXssAttribute

Demo:

[AntiXss]

              public string Name { get; set; }

              [AntiXss(allowedStrings: "<br />,<p>")]

              public string Description { get; set; }

              [AntiXss(allowedStrings: "<br />", disallowedStrings:"/, #")]

              public string NoSlashesOrHashes { get; set; }

              [AntiXss(errorMessage: "This is a custom error message")]

              public string CustomError { get; set; }

              [AntiXss(errorMessageResourceName:"TestMessage", errorMessageResourceType: typeof(TestResources))]

              public string ResourceCustomError { get; set; }

具体代码如下所示:

/// <summary>

    /// AntiXss验证特性,防止XSS攻击

    /// </summary>

    [AttributeUsage(AttributeTargets.Property, AllowMultiple = false, Inherited = true)]

    public class AntiXssAttribute : ValidationAttribute

    {

        const string DefaultValidationMessageFormat = "字段 {0} XSS验证失败,请检查输入的字符串中是否含有非法字符。";

        private readonly string errorMessage;

        private readonly string errorMessageResourceName;

        private readonly Type errorMessageResourceType;

        private readonly string allowedStrings;

        private readonly string disallowedStrings;

        private readonly Dictionary<string, string> allowedStringsDictionary;

        /// <summary>

        /// 初始化 <see cref="AntiXssAttribute"/> 的新实例.

        /// </summary>

        /// <param name="errorMessage">错误消息</param>

        /// <param name="errorMessageResourceName">获取或设置错误消息资源的名称,在验证失败的情况下,要使用该名称来查找 ErrorMessageResourceType 属性值</param>

        /// <param name="errorMessageResourceType">获取或设置在验证失败的情况下用于查找错误消息的资源类型。</param>

        /// <param name="allowedStrings">以逗号分隔的允许的字符串。</param>

        /// <param name="disallowedStrings">以逗号分隔的字符串不允许的字符或单词</param>

        public AntiXssAttribute(

            string errorMessage = null,

            string errorMessageResourceName = null,

            Type errorMessageResourceType = null,

            string allowedStrings = null,

            string disallowedStrings = null)

        {

            this.errorMessage = errorMessage;

            this.errorMessageResourceName = errorMessageResourceName;

            this.errorMessageResourceType = errorMessageResourceType;

            this.allowedStrings = allowedStrings;

            this.disallowedStrings = disallowedStrings;

            allowedStringsDictionary = new Dictionary<string, string>();

        }

        /// <summary>

        /// 确定对象的指定值是否有效。

        /// </summary>

        /// <param name="value"></param>

        /// <returns></returns>

        public override bool IsValid(object value)

        {

            return true;

        }

        /// <summary>

        /// 确定对象的指定值是否有效。

        /// </summary>

        /// <param name="value"></param>

        /// <param name="validationContext"></param>

        /// <returns></returns>

        protected override ValidationResult IsValid(object value, ValidationContext validationContext)

        {

            if (value == null)

            {

                return base.IsValid(null, validationContext);

            }

            var encodedValue = EncoderHelper.HtmlEncode(value.ToString(), false);

            if (EncodedStringAndValueAreDifferent(value, encodedValue))

            {

                SetupAllowedStringsDictionary();

                foreach (var allowedString in allowedStringsDictionary)

                {

                    encodedValue = encodedValue.Replace(allowedString.Value, allowedString.Key);

                }

                if (EncodedStringAndValueAreDifferent(value, encodedValue))

                {

                    return new ValidationResult(SetErrorMessage(validationContext));

                }

            }

            if (!string.IsNullOrWhiteSpace(disallowedStrings)

                && disallowedStrings.Split(',').Select(x => x.Trim()).Any(x => value.ToString().Contains(x)))

            {

                return new ValidationResult(SetErrorMessage(validationContext));

            }

            return base.IsValid(value, validationContext);

        }

        private static bool EncodedStringAndValueAreDifferent(object value, string encodedValue)

        {

            return !value.ToString().Equals(encodedValue);

        }

        private void SetupAllowedStringsDictionary()

        {

            if (string.IsNullOrWhiteSpace(allowedStrings))

            {

                return;

            }

            foreach (var allowedString in allowedStrings.Split(',').Select(x => x.Trim())

                .Where(allowedString => !allowedStringsDictionary.ContainsKey(allowedString)))

            {

                allowedStringsDictionary.Add(allowedString,

                    EncoderHelper.HtmlEncode(allowedString, false));

            }

        }

        /// <summary>

        /// 设置错误消息

        /// </summary>

        /// <param name="validationContext"></param>

        /// <returns></returns>

        private string SetErrorMessage(ValidationContext validationContext)

        {

            if (IsResourceErrorMessage())

            {

                var resourceManager = new ResourceManager(errorMessageResourceType);

                return resourceManager.GetString(errorMessageResourceName, CultureInfo.CurrentCulture);

            }

            if (!string.IsNullOrEmpty(errorMessage))

            {

                return errorMessage;

            }

            return string.Format(DefaultValidationMessageFormat, validationContext.DisplayName);

        }

        private bool IsResourceErrorMessage()

        {

            return !string.IsNullOrEmpty(errorMessageResourceName) && errorMessageResourceType != null;

        }

    }

Magicodes.WeiChat——使用AntiXssAttribute阻止XSS(跨站脚本攻击)攻击的更多相关文章

  1. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  2. 1、Web应用程序中的安全向量 -- XSS跨站脚本攻击

    XSS攻击(跨站脚本攻击)的概念: 用户通过网站页面的输入框植入自己的脚本代码,来获取额外的信息. XSS的实现方式: (1)通过用户将恶意的脚本命令输入到网站中,而这些网站又能够接收"不干 ...

  3. 解析如何防止XSS跨站脚本攻击

    2012-11-20 09:03 (分类:网络安全) 这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因 ...

  4. XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结(转载)

    转载自 https://blog.csdn.net/baidu_24024601/article/details/51957270 之前就了解过这方面的知识,但是没有系统地总结.今天在这总结一下,也让 ...

  5. XSS(跨站脚本攻击)简单讲解

    1.1 XSS简介 跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码(一般是JS代码)到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意 ...

  6. XSS 跨站脚本攻击之构造剖析(一)

    1.XSS-Filter:跨站脚本过滤器,用于分析用户提交的输入,并消除潜在的跨站脚本攻击 (1)XSS Filter实际上是一段精心编写的过滤函数作用是过滤XSS跨站脚本代码: (2)绕过XSS F ...

  7. XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析

    2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击.此事件给严重依赖社交网络的网友们敲响了警钟.在此之前,国内多家著名的SNS网站和 ...

  8. xss(跨站脚本攻击),crsf(跨站请求伪造),xssf

    我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子 ...

  9. PHP漏洞全解(四)-xss跨站脚本攻击

    本文主要介绍针对PHP网站的xss跨站脚本攻击.跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 ...

随机推荐

  1. sublime好看的主题webstrom破解

    http://equinusocio.github.io/material-theme/ sublime jsDoc注释 Doc Blockr webstrom破解 http://15.idea.la ...

  2. VC++ AfxBeginThread 与 CreateThread 的区别

    简言之:AfxBeginThread是MFC的全局函数,是对CreateThread的封装.    CreateThread是Win32 API函数,前者最终要调到后者.具体说来,CreateThre ...

  3. CodeForces 675C Money Transfers(贪心+奥义维护)

    题意:n个银行. 其中存款有+有-. 总和为0. n个银行两两相邻((1,n),(1,2)...(n-1,n)); 问最少移动几次(只能相邻移动)能把所有数变为0. 分析:思路很简单,起始答案算它为n ...

  4. .net该的帐

    1.web api 2.socket通信 3.NUnit单元测试 4.了解自动化测试各种工具

  5. Sql 查找整个数据库中的字符串

    --存储过程 CREATE PROCEDURE [dbo].[SP_FindValueInDB] ( @value VARCHAR() ) AS BEGIN SET NOCOUNT ON; DECLA ...

  6. 解决C# 转到定义时打开的是元数据文件而非源代码文件的问题

    原因:添加引用时 使用的是“浏览"选项卡,选择了项目生成的dll作为引用的内容. 解决:添加引用时 使用的是"项目"选项卡,选择了项目本身作为引用的内容.

  7. 第1章 C#类型基础

    1.1值类型和引用类型 1.1.1 值类型 使用值类型之前需要对值类型的所有元素初始化(普通值类型和结构体). 结构还有一个特性:调用结构上的方法前,需要对其所有的字段进行赋值,为了避免对结构体中所有 ...

  8. Hex编码字节

    1.将字节数组转换为字符串 /** * 将字节数组转换为字符串 * 一个字节会形成两个字符,最终长度是原始数据的2倍 * @param data * @return */ public static ...

  9. github 项目版本控制

    1.申请github账号 2.安装github for windows工具 安装后就可以使用Git Bash打开特制的终端,在里面用来命令行了.喜欢Git命令行方式的朋友到这里就够了. 打开Git B ...

  10. 第九章 springboot + mybatis + 多数据源 (AOP实现)

    在第八章 springboot + mybatis + 多数据源代码的基础上,做两点修改 1.ShopDao package com.xxx.firstboot.dao; import org.spr ...