原作是在GitHub上,基于Node.js所写。但是。。ASP的JS引擎跟V8又有些不同。。于是,嗯。。

<%

Function AntiXSS_VbsTrim(s)

    AntiXSS_VbsTrim=Trim(s)

End Function

%>

<script language="javascript" runat="server">

//原GITHUB:https://github.com/leizongmin/js-xss/blob/master/index.js

//过滤XSS攻击 @author 老雷<leizongmin@gmail.com>

//转换到ASP by zsx(http://www.zsxsoft.com)

function AntiXSS_run(html){

    String.prototype.trim=function(){return AntiXSS_VbsTrim(this)};

    return AntiXSS(html,AntiXSS_config);

}

var AntiXSS_noTag = function(text) {

    return text.replace(/</g, '<').replace(/>/g, '>');

};

function AntiXSS(html, options) {

    var whiteList = options.whiteList;

    var onTagAttr = options.onTagAttr;

    var onIgnoreTag = options.onIgnoreTag;

    var rethtml = '';

    var lastPos = 0;

    var tagStart = false;

    var quoteStart = false;

    var currentPos = 0;

    var filterAttributes = function(tagName, attrs) {

        tagName = tagName.toLowerCase();

        var whites = whiteList[tagName];

        var lastPos = 0;

        var _attrs = [];

        var tmpName = false;

        var hasSprit = false;

        var addAttr = function(name, value) {

            name = name.trim();

            if (!hasSprit && name === '/') {

                hasSprit = true;

                return;

            };

            name = name.replace(/[^a-zA-Z0-9_:\.\-]/img, '').toLowerCase();

            if (name.length < 1) return;

            if (whites.join().indexOf(name) !== -1) {

                if (value) {

                    value = value.trim().replace(/"/g, '"e;');

                    value = value.replace(/&#([a-zA-Z0-9]*);?/img,

                    function(str, code) {

                        code = parseInt(code);

                        return String.fromCharCode(code);

                    });

                    var _value = '';

                    for (var i = 0, len = value.length; i < len; i++) {

                        _value += value.charCodeAt(i) < 32 ? ' ': value.split("")[i];

                    }

                    value = _value.trim();

                    var newValue = onTagAttr(tagName, name, value);

                    if (typeof(newValue) !== 'undefined') {

                        value = newValue;

                    }

                }

                _attrs.push(name + (value ? '="' + value + '"': ''));

            }

        };

        for (var i = 0, len = attrs.length; i < len; i++) {

            var c = attrs.split("")[i];

            if (tmpName === false && c === '=') {

                tmpName = attrs.slice(lastPos, i);

                lastPos = i + 1;

                continue;

            }

            if (tmpName !== false) {

                if (i === lastPos && (c === '"' || c === "'")) {

                    var j = attrs.indexOf(c, i + 1);

                    if (j === -1) {

                        break;

                    } else {

                        var v = attrs.slice(lastPos + 1, j).trim();

                        addAttr(tmpName, v);

                        tmpName = false;

                        i = j;

                        lastPos = i + 1;

                        continue;

                    }

                }

            }

            if (c === ' ') {

                var v = attrs.slice(lastPos, i).trim();

                if (tmpName === false) {

                    addAttr(v);

                } else {

                    addAttr(tmpName, v);

                }

                tmpName = false;

                lastPos = i + 1;

                continue;

            }

        }

        if (lastPos < attrs.length) {

            if (tmpName === false) {

                addAttr(attrs.slice(lastPos));

            } else {

                addAttr(tmpName, attrs.slice(lastPos));

            }

        }

        if (hasSprit) _attrs.push('/');

        return _attrs.join(' ');

    };

    var addNewTag = function(tag, end) {

        rethtml += AntiXSS_noTag(html.slice(lastPos, tagStart));

        lastPos = end + 1;

        var spos = tag.slice(0, 2) === '</' ? 2: 1;

        var i = tag.indexOf(' ');

        if (i === -1) {

            var tagName = tag.slice(spos, tag.length - 1).trim();

        } else {

            var tagName = tag.slice(spos, i + 1).trim();

        }

        tagName = tagName.toLowerCase();

        if (tagName in whiteList) {

            if (i === -1) {

                rethtml += tag.slice(0, spos) + tagName + '>';

            } else {

                var attrs = filterAttributes(tagName, tag.slice(i + 1, tag.length - 1).trim());

                rethtml += tag.slice(0, spos) + tagName + (attrs.length > 0 ? ' ' + attrs: '') + '>';

            }

        } else {

            var options = {

                isClosing: (spos === 2),

                position: rethtml.length,

                originalPosition: currentPos - tag.length + 1

            };

            var tagHtml = onIgnoreTag(tagName, tag, options);

            if (typeof(tagHtml) === 'undefined') {

                tagHtml = AntiXSS_noTag(tag);

            }

            rethtml += tagHtml;

        }

    };

    for (var currentPos = 0, len = html.length; currentPos < len; currentPos++) {

        var c = html.split("")[currentPos];

        if (tagStart === false) {

            if (c === '<') {

                tagStart = currentPos;

                continue;

            }

        } else {

            if (quoteStart === false) {

                if (c === '<') {

                    rethtml += AntiXSS_noTag(html.slice(lastPos, currentPos));

                    tagStart = currentPos;

                    lastPos = currentPos;

                    continue;

                }

                if (c === '>') {

                    addNewTag(html.slice(tagStart, currentPos + 1), currentPos);

                    tagStart = false;

                    continue;

                }

                if (c === '"' || c === "'") {

                    quoteStart = c;

                    continue;

                }

            } else {

                if (c === quoteStart) {

                    quoteStart = false;

                    continue;

                }

            }

        }

    }

    if (lastPos < html.length) {

        rethtml += AntiXSS_noTag(html.substr(lastPos));

    }

    return rethtml;

};

var AntiXSS_config = {

    "whiteList": {

//      h1: ['style', 'class'],

//      h2: ['style', 'class'],

//      h3: ['style', 'class'],

//      h4: ['style', 'class'],

//      h5: ['style', 'class'],

//      h6: ['style', 'class'],

        hr: ['style', 'class'],

        span: ['style', 'class'],

        strong: ['style', 'class'],

        b: ['style', 'class'],

        i: ['style', 'class'],

        br: [],

        p: ['style', 'class'],

        pre: ['style', 'class'],

        code: ['style', 'class'],

        a: ['style', 'class', 'target', 'href', 'title' ,'rel'],

        img: ['style', 'class', 'src', 'alt', 'title'],

        div: ['style', 'class'],

        table: ['style', 'class', 'width', 'border'],

        tr: ['style', 'class'],

        td: ['style', 'class', 'width', 'colspan'],

        th: ['style', 'class', 'width', 'colspan'],

        tbody: ['style', 'class'],

        ul: ['style', 'class'],

        li: ['style', 'class'],

        ol: ['style', 'class'],

        dl: ['style', 'class'],

        dt: ['style', 'class'],

        em: ['style'],

//      cite: ['style'],

//      section: ['style', 'class'],

//      header: ['style', 'class'],

//      footer: ['style', 'class'],

        blockquote: ['style', 'class']//,

//      audio: ['autoplay', 'controls', 'loop', 'preload', 'src'],

//      video: ['autoplay', 'controls', 'loop', 'preload', 'src', 'height', 'width']

    },

    "onTagAttr": function(tag, attr, value) {

        if (attr === 'href' || attr === 'src') {

            if (/\/\*|\*\//mg.test(value)) {

                return '#';

            }

            if (/^[\s"'`]*((j\s*a\s*v\s*a|v\s*b|l\s*i\s*v\s*e)\s*s\s*c\s*r\s*i\s*p\s*t\s*|m\s*o\s*c\s*h\s*a):/ig.test(value)) {

                return '#';

            }

        } else if (attr === 'style') {

            if (/\/\*|\*\//mg.test(value)) {

                return '#';

            }

            if (/((j\s*a\s*v\s*a|v\s*b|l\s*i\s*v\s*e)\s*s\s*c\s*r\s*i\s*p\s*t\s*|m\s*o\s*c\s*h\s*a):/ig.test(value)) {

                return '';

            }

        }

    },

    "onIgnoreTag": function(tag, html, options) {

        return AntiXSS_noTag(html);

    }

};

</script>

  

ASP防XSS代码的更多相关文章

  1. ASP防注入

    因为在改进公司的一套ASP代码,所以考虑了一下防注入的问题. 参考了网上的几处代码,进行了修改和整合,都转换成小写再处理. 还考虑了script注入. 代码如下: 'Asp防注入代码 SQL_injd ...

  2. asp防注入安全问题

    一.古老的绕验证漏洞虽然古老,依然存在于很多小程序之中,比如一些企业网站的后台,简单谈谈.这个漏洞出现在没有对接受的变量进行过滤,带入数据库判断查询时,造成SQL语句的逻辑问题.例如以下代码存在问题: ...

  3. 【前端安全】JavaScript防XSS攻击

    什么是XSS XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击.本来缩小应该是CSS,但为了和层叠样式(Cas ...

  4. XSS代码触发条件,插入XSS代码的常用方法

    1.脚本插入 (1)插入javascript和vbscript正常字符. 例1:<img src=”javascript:alert(/xss/)”> 例2:<table backg ...

  5. PHP之SQL防注入代码集合(建站常用)

    SQL防注入代码一 <?php if (!function_exists (quote)) { function quote($var) { if (strlen($var)) { $var=! ...

  6. 改善 ASP.NET MVC 代码库的 5 点建议

    MVC,建议 刚刚检查完支持工单中的一些代码,笔者想针对 ASP.NET MVC 应用的改进写一些建议.这些内容仍在笔者脑海中,愿与各位一同分享.若你已使用 MVC 一段时间,那么以下内容可能并不新鲜 ...

  7. java请求URL带参之防XSS攻击

    1.web.xml新增filter配置 <!-- URL请求参数字符过滤或合法性校验 --> <filter> <filter-name>XssFilter< ...

  8. asp微信支付代码证书文件post_url.aspx和post_url.aspx.cs源码下载

    很多朋友在网上找的asp支付代码中都没有这两个证书文件,只能是用别人的,但是如果别人把他的网站这个文件删了,你的支付也就不能用了,今天我就把大家需要的这两个asp微信支付代码证书文件post_url. ...

  9. 关于在线文本编辑器防XSS注入攻击问题

    跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击.例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如<script>alert('这是一 ...

随机推荐

  1. MT【141】逆用特征根法

    (清华大学THUSSAT) 已知 \(a=\left( \dfrac{-1+\sqrt{5}}{2} \right)^{-10}+\left( \dfrac{-1-\sqrt{5}}{2} \righ ...

  2. 【刷题】BZOJ 3732 Network

    Description 给你N个点的无向图 (1 <= N <= 15,000),记为:1-N. 图中有M条边 (1 <= M <= 30,000) ,第j条边的长度为: d_ ...

  3. 【BZOJ 1098】办公楼(补图连通块个数,Bfs)

    补图连通块个数这大概是一个套路吧,我之前没有见到过,想了好久都没有想出来QaQ 事实上这个做法本身就是一个朴素算法,但进行巧妙的实现,就可以分析出它的上界不会超过 $O(n + m)$. 接下来介绍一 ...

  4. 【codeforces 778C】 Peterson Polyglot

    http://codeforces.com/problemset/problem/778/C (题目链接) 题意 给出一个字典树,问删掉哪一层以后,得到的字典树最小. Solution 直接对于每一层 ...

  5. SSH连接与自动化部署工具paramiko与Fabric

    paramiko paramiko是基于Python实现的SSH2远程安全连接,支持认证及密钥方法.可以实现远程命令执行,文件传输,中间SSH代理等功能,相对于Pexpect,封装层次更高. pip ...

  6. python 中的queue, deque

    python3 deque(双向队列) 创建双向队列 import collections d = collections.deque() append(往右边添加一个元素) import colle ...

  7. c# lock的误解

    一直以为lock 一个实例就可以了,没想到实例的类型还是有区别的 static object lockObjStatic = new object(); object lockObj = new ob ...

  8. bzoj 3309 反演

    $n=p_1^{a_1}p_2^{a_2}…p_k^{a_k},p_i$为素数,定义$f(n)=max(a_1,a_2…,a_k)$. 给定a,b<=1e7求$\sum\limits_{i=1} ...

  9. Java并发编程原理与实战十八:读写锁

    ReadWriteLock也是一个接口,提供了readLock和writeLock两种锁的操作机制,一个资源可以被多个线程同时读,或者被一个线程写,但是不能同时存在读和写线程. 基本规则: 读读不互斥 ...

  10. [Node.js] querystring类

    和参数相关的帮助类,原生自带,直接 require('querystring') 即可使用. 此类一共包括4个方法: querystring.stringify(obj, [sep], [eq]) q ...