XSS攻击全称跨站脚本攻击(Cross Site Scripting),是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码(如HTML代码和客户端脚本)植入到提供给其它用户使用的页面中。要预防XSS攻击,就必须在处理客户端请求之前判断用户的输入是否合法,如果不合法就要拦截。在ASP.NET项目的根目录下有一个全局程序文件Global.asax文件,每次IIS请求都会按顺序执行这个文件中的不同事件。其中Application_BeginRequest事件在ASP.NET开始处理每个请求时触发,在这个事件处理中的代码将在页面或者服务处理请求之前执行。我们可以在这里写代码去验证客户端请求是否合法。

  首先在app_code文件夹下创建一个XSSFilter类,这是ASP.NET创建网站时默认存储类的文件夹

 using System;

 using System.Collections.Generic;

 using System.Linq;

 using System.Web;

 using System.Text.RegularExpressions;

 /// <summary>

 ///XSSFilter 的摘要说明

 /// </summary>

 public class XSSFilter

 {

     public XSSFilter() { }

     private const string StrRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";

     public static bool PostData()

     {

         bool result = false;

         try

         {

             for (int i = ; i < HttpContext.Current.Request.Form.Count; i++)

             {

                 result = CheckData(HttpContext.Current.Request.Form[i].ToString());

                 if (result)

                 {

                     break;

                 }

             }

         }

         catch (HttpRequestValidationException ex)

         {

             return true;

         }

         return result;

     }

     public static bool GetData()

     {

         bool result = false;

         try

         {

             for (int i = ; i < HttpContext.Current.Request.QueryString.Count; i++)

             {

                 result = CheckData(HttpContext.Current.Request.QueryString[i].ToString());

                 if (result)

                 {

                     break;

                 }

             }

         }

         catch (HttpRequestValidationException ex)

         {

             return true;

         }

         return result;

     }

     public static bool CookieData()

     {

         bool result = false;

         try

         {

             for (int i = ; i < HttpContext.Current.Request.Cookies.Count; i++)

             {

                 result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());

                 if (result)

                 {

                     break;

                 }

             }

         }

         catch (HttpRequestValidationException ex)

         {

             return true;

         }

         return result;

     }

     public static bool referer()

     {

         bool result = false;

         return result = CheckData(HttpContext.Current.Request.UrlReferrer.ToString());

     }

     public static bool CheckData(string inputData)

     {

         if (Regex.IsMatch(inputData, StrRegex))

         {

             return true;

         }

         else

         {

             return false;

         }

     }

 }

然后在Global.asax的Application_BeginRequest事件中添加如下代码:

     void Application_BeginRequest(object sender, EventArgs e)

     {

         if (Request.Cookies != null)

         {

             if (XSSFilter.CookieData())

             {

                 Response.Write("您提交的Cookie数据有恶意字符!");

                 Response.End();

             }

         }

         if (Request.UrlReferrer != null)

         {

             if (XSSFilter.referer())

             {

                 Response.Write("您提交的Referrer数据有恶意字符!");

                 Response.End();

             }

         }

         if (Request.RequestType.ToUpper() == "POST")

         {

             if (XSSFilter.PostData())

             {

                 Response.Write("您提交的Post数据有恶意字符!");

                 Response.End();

             }

         }

         if (Request.RequestType.ToUpper() == "GET")

         {

             if (XSSFilter.GetData())

             {

                 Response.Write("您提交的Get数据有恶意字符!");

                 Response.End();

             }

         }

     }

测试一下,在提交表单时或者手动修改URL输入一行脚本<script>alert('test');</script>,就会跳转到错误提示页面。
如果用的是异步ajax提交,在回调函数中判断一下就可以了。

使用Global.asax的Application_BeginRequest事件过滤客户端XSS恶意脚本提交的更多相关文章

  1. 采用Global.asax的Application_BeginRequest事件过滤敏感字符

    1.特殊字符过滤公共类ProcessRequest.cs using System.Web.UI; using System.Web.UI.WebControls; using System.Web. ...

  2. Global.asax的Application_BeginRequest实现url重写无后缀的代码

    本文为大家详细介绍下利用Global.asax的Application_BeginRequest 实现url重写其无后缀,具体核心代码如下,有需求的朋友可以参考下,希望对大家有所帮助 利用Global ...

  3. [置顶] 利用Global.asax的Application_BeginRequest 实现url 重写 无后缀

    利用Global.asax的Application_BeginRequest 实现url 重写 无后缀 <%@ Application Language="C#" %> ...

  4. 怎样过滤跨站恶意脚本攻击(XSS)

    什么是XSS? XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web application中的计算机安全漏洞.XSS通过在用户端注入恶意的可运行脚本,若服务器端对用 ...

  5. mvc.global.asax事件

    1.global.asax文件概述 global.asax这个文件包含全局应用程序事件的事件处理程序.它响应应用程序级别和会话级别事件的代码. 运行时, Global.asax 将被编译成一个动态生成 ...

  6. ASP.NET MVC中的Global.asax文件

    1.global.asax文件概述 global.asax这个文件包含全局应用程序事件的事件处理程序.它响应应用程序级别和会话级别事件的代码. 运行时, Global.asax 将被编译成一个动态生成 ...

  7. Asp.net MVC Global.asax文件

    global.asax文件概述 global.asax这个文件包含全局应用程序事件的事件处理程序.它响应应用程序级别和会话级别事件的代码. 运行时, Global.asax 将被编译成一个动态生成的 ...

  8. MVC中 global.asax

    MVC框架下 global.asax 页面的事件 这些事件被触发的 顺序是: Application_BeginRequest Application_AuthenticateRequest Appl ...

  9. Servlet实现asp.net中的Global.asax启动事件(Servlet和Listener使用)

    1.Java Web中没有像asp.net的全局启动事件,但是可以通过web.xml中的load-on-startup节点来控制Servlet的开机启动和启动次数.web.xml详细配置参考:http ...

随机推荐

  1. django 多对多 增 删 改 查

      一.通过url方式实现多对多的:增加,删除,编辑 代码目录: urls.py 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 ...

  2. 第二章 JavaScript总结(下)

    js参考表 变量的引用 <script> var n=10; m = 10; //全局变量 function a () { var x = 10; //局部变量 b = 10;//全局变量 ...

  3. centos7以rpm方法装mysql5.7及大坑

    环境: CentOS Linux release 7.5.1804 (Core)   Mysql版本: MySQL-5.7.17-1.el6.x86_64.rpm-bundle.tar   下载地址( ...

  4. linux上安装memcached步骤

    libevent: http://libevent.org/ 服务器端:https://code.google.com/archive/p/memcached/downloads 客户端: http: ...

  5. c# 仿微信二维码生成

    /// <summary> /// 生成二维码. /// </summary> /// <param name="data">需要添加进去的文本 ...

  6. Excel技巧--单列变多行

    当上图的单列转变成多行时,可以这么做: 1.在第一行输入A2.A3,向右拖拉第一行: 2.第二行按第一行最右顺序,写下A12,再向右拖拉出第二行: 3.选择这两行,再拖拉出一串连续顺序的多行来: 4. ...

  7. Linux系统挂载新磁盘

    执行df -h 查看已挂载磁盘 未能找到挂载磁盘 1)使用fdisk -l命令查看主机上的硬盘 红圈标志为后挂载的磁盘未能挂载 2)使用mkfs.ext4命令把硬盘格式化: mkfs.ext4 /de ...

  8. 【python】如何将ipdb的python解释器路径切换至虚拟环境中

    背景: 利用virtualenv构建一个python3.5的虚拟环境,在该虚拟环境中使用ipdb调试程序,结果报错找不到某一个模块. 程序的所有依赖模块都已经成功安装在虚拟环境中. 在虚拟环境中,te ...

  9. php 7 event 安装

    有效安排I/O,时间和信号的扩展 使用可用于特定平台的最佳I/O通知机制的事件,是PHP基础设施的libevent端口. 下载地址:http://pecl.php.net/package/event ...

  10. Unity Lighting(一)光照练习

    Unity 2018.1.2f1 原文链接:https://www.youtube.com/watch?v=VnG2gOKV9dw Unity Lighting练习最终效果 眼睛.光源与物体 光学基础 ...