XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的電腦安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。 比如我們在表單提交的時候插入腳本代碼 如果不進行 ...
XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的電腦安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
比如我們在表單提交的時候插入腳本代碼
如果不進行處理,那麼就是這種效果,我這裡只是演示一個簡單的彈窗
下麵給大家分享一下我的解決方案。
需要用到這個庫:HtmlSanitizer
https://github.com/mganss/HtmlSanitizer
新建一個過濾類。
public class XSS { private HtmlSanitizer sanitizer; public XSS() { sanitizer = new HtmlSanitizer(); //sanitizer.AllowedTags.Add("div");//標簽白名單 sanitizer.AllowedAttributes.Add("class");//標簽屬性白名單,預設沒有class標簽屬性 //sanitizer.AllowedCssProperties.Add("font-family");//CSS屬性白名單 } /// <summary> /// XSS過濾 /// </summary> /// <param name="html">html代碼</param> /// <returns>過濾結果</returns> public string Filter(string html) { string str = sanitizer.Sanitize(html); return str; } }
新建一個過濾器
public class FieldFilterAttribute : Attribute,IActionFilter { private XSS xss; public FieldFilterAttribute() { xss = new XSS(); } //在Action方法之回之後調用 public void OnActionExecuted(ActionExecutedContext context) { } //在調用Action方法之前調用 public void OnActionExecuting(ActionExecutingContext context) { //獲取Action參數集合 var ps = context.ActionDescriptor.Parameters; //遍歷參數集合 foreach (var p in ps) { if (context.ActionArguments[p.Name] != null) { //當參數等於字元串 if (p.ParameterType.Equals(typeof(string))) { context.ActionArguments[p.Name] = xss.Filter(context.ActionArguments[p.Name].ToString()); } else if (p.ParameterType.IsClass)//當參數等於類 { ModelFieldFilter(p.Name, p.ParameterType, context.ActionArguments[p.Name]); } } } } /// <summary> /// 遍歷修改類的字元串屬性 /// </summary> /// <param name="key">類名</param> /// <param name="t">數據類型</param> /// <param name="obj">對象</param> /// <returns></returns> private object ModelFieldFilter(string key, Type t, object obj) { //獲取類的屬性集合 //var ats = t.GetCustomAttributes(typeof(FieldFilterAttribute), false); if (obj != null) { //獲取類的屬性集合 var pps = t.GetProperties(); foreach (var pp in pps) { if(pp.GetValue(obj) != null) { //當屬性等於字元串 if (pp.PropertyType.Equals(typeof(string))) { string value = pp.GetValue(obj).ToString(); pp.SetValue(obj, xss.Filter(value)); } else if (pp.PropertyType.IsClass)//當屬性等於類進行遞歸 { pp.SetValue(obj, ModelFieldFilter(pp.Name, pp.PropertyType, pp.GetValue(obj))); } } } } return obj; } }
//屬性過濾器 [FieldFilter] public class NoteBookController : ManageController { //筆記操作介面 private INoteBookAppService _noteBookApp; public NoteBookController(INoteBookAppService noteBookApp) { this._noteBookApp = noteBookApp; } public IActionResult Tab() { return View(); } }
然後在需要過濾的控制器加上過濾控制器特性就可以了。這樣所有string類型的參數就都會進行過濾了。如果不需要對整個控制器進行過濾,只需要在相應的Action加上特性。
最後 點個贊吧。
