asp网站如何防止XSS攻击

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了asp网站如何防止XSS攻击相关的知识,希望对你有一定的参考价值。

请别复制网上那些文章,那些文章都看了不少,基本上都一样,小弟要的是高人亲自试验或者有效的办法。
目前已经过滤了网站上所有的输入框,限制了字符。
只是在IE栏里面。比如说 123.asp?id=kkk 后面加上<acript></script>的话,一样会弹出一个对话框。这个是不是就是说有这个漏洞?那么如果防止IE栏里面的<acript></script>运行呢?

asp中防止xss攻击的方法如下:

    确保所有输出内容都经过 html 编码。

    禁止用户提供的文本进入任何 HTML 元素属性字符串。

    根据 msdn.microsoft.com/library/3yekbd5b 中的概述,检查 Request.Browser,以阻止应用程序使用 Internet Explorer 6。

    了解控件的行为以及其输出是否经过 HTML 编码。如果未经过 HTML 编码,则对进入控件的数据进行编码。

    使用 Microsoft 防跨站点脚本库 (AntiXSS) 并将其设置为您的默认 HTML 编码器。

    在将 HTML 数据保存到数据库之前,使用 AntiXSS Sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用 GetSafeHtml 或 GetSafeHtmlFragment;不要在保存数据之前对数据进行编码。

    对于 Web 窗体,不要在网页中设置 EnableRequestValidation=false。遗憾的是,Web 上的大多数用户组文章都建议在出现错误时禁用该设置。该设置的存在是有原因的,例如,如果向服务器发送回“<X”之类的字符组合,该设置将阻止请求。如果您的控件将 HTML 发送回服务器并收到图 5 所示的错误,那么理想情况下,您应该在将数据发布到服务器之前对数据进行编码。这是 WYSIWYG 控件的常见情形,现今的大多数版本都会在将其 HTML 数据发布回服务器之前对该数据进行正确编码。

    对于 ASP.NET MVC 3 应用程序,当您需要将 HTML 发布回模型时,不要使用 ValidateInput(false) 来关闭请求验证。只需向模型属性中添加 [AllowHtml] 即可,如下所示:

public class BlogEntry

public int UserId get;set;

[AllowHtml]

public string BlogText get;set;


参考技术A Function Checkxss(byVal ChkStr)

Dim Str
Str = ChkStr
If IsNull(Str) Then
CheckStr = ""
Exit Function
End If

Str = Replace(Str, "&", "&")
Str = Replace(Str, "'", "´")
Str = Replace(Str, """", """)
Str = Replace(Str, "<", "<")
Str = Replace(Str, ">", ">")
Str = Replace(Str, "/", "/")
Str = Replace(Str, "*", "*")

Dim re
Set re = New RegExp
re.IgnoreCase = True
re.Global = True
re.Pattern = "(w)(here)"
Str = re.Replace(Str, "$1here")
re.Pattern = "(s)(elect)"
Str = re.Replace(Str, "$1elect")
re.Pattern = "(i)(nsert)"
Str = re.Replace(Str, "$1nsert")
re.Pattern = "(c)(reate)"
Str = re.Replace(Str, "$1reate")
re.Pattern = "(d)(rop)"
Str = re.Replace(Str, "$1rop")
re.Pattern = "(a)(lter)"
Str = re.Replace(Str, "$1lter")
re.Pattern = "(d)(elete)"
Str = re.Replace(Str, "$1elete")
re.Pattern = "(u)(pdate)"
Str = re.Replace(Str, "$1pdate")
re.Pattern = "(\s)(or)"
Str = re.Replace(Str, "$1or")
re.Pattern = "(\n)"
Str = re.Replace(Str, "$1or")
'----------------------------------
re.Pattern = "(java)(script)"
Str = re.Replace(Str, "$1script")
re.Pattern = "(j)(script)"
Str = re.Replace(Str, "$1script")
re.Pattern = "(vb)(script)"
Str = re.Replace(Str, "$1script")
'----------------------------------
If Instr(Str, "expression") > 0 Then
Str = Replace(Str, "expression", "e­xpression", 1, -1, 0) '防止xss注入
End If
Set re = Nothing
Checkxss = Str

End Function

使用方法:Checkxss(request.QueryString("变量")),或者Checkxss(request.form("表单名"))
参考技术B 那你对页面提交的字符进行过滤呀,asp 的正则表达式你会吗,不会的话,建议你学习下,好多地方都需要过滤的,所以学下的话对自己有好处。 参考技术C 你在你的应用里面的每一个请求里面(包括GET和POST)都加上一个参数,然后在服务器端来进行验证,就可以了。

当然这个参数,需要通过Web框架自动生成的,对开发是透明的,并且会整个参数的值是需要经常更新的,比如:用户登陆一次就生成一个,然后过一阵子没有使用就会失效掉。
通过过滤器有特殊字符直接过滤

asp项目中如何防止xss攻击

asp项目中如何防止xss攻击,请举出具体例子,谢谢。

asp中防止xss攻击的方法如下:

    确保所有输出内容都经过 HTML 编码。

    禁止用户提供的文本进入任何 HTML 元素属性字符串。

    根据 msdn.microsoft.com/library/3yekbd5b 中的概述,检查 Request.Browser,以阻止应用程序使用 Internet Explorer 6。

    了解控件的行为以及其输出是否经过 HTML 编码。如果未经过 HTML 编码,则对进入控件的数据进行编码。

    使用 Microsoft 防跨站点脚本库 (AntiXSS) 并将其设置为您的默认 HTML 编码器。

    在将 HTML 数据保存到数据库之前,使用 AntiXSS Sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用 GetSafeHtml 或 GetSafeHtmlFragment;不要在保存数据之前对数据进行编码。

    对于 Web 窗体,不要在网页中设置 EnableRequestValidation=false。遗憾的是,Web 上的大多数用户组文章都建议在出现错误时禁用该设置。该设置的存在是有原因的,例如,如果向服务器发送回“<X”之类的字符组合,该设置将阻止请求。如果您的控件将 HTML 发送回服务器并收到图 5 所示的错误,那么理想情况下,您应该在将数据发布到服务器之前对数据进行编码。这是 WYSIWYG 控件的常见情形,现今的大多数版本都会在将其 HTML 数据发布回服务器之前对该数据进行正确编码。

    对于 ASP.NET MVC 3 应用程序,当您需要将 HTML 发布回模型时,不要使用 ValidateInput(false) 来关闭请求验证。只需向模型属性中添加 [AllowHtml] 即可,如下所示:

public class BlogEntry

public int UserId get;set;

[AllowHtml]

public string BlogText get;set;


参考技术A Function Checkxss(byVal ChkStr)

Dim Str
Str = ChkStr
If IsNull(Str) Then
CheckStr = ""
Exit Function
End If

Str = Replace(Str, "&", "&")
Str = Replace(Str, "'", "´")
Str = Replace(Str, """", """)
Str = Replace(Str, "<", "<")
Str = Replace(Str, ">", ">")
Str = Replace(Str, "/", "/")
Str = Replace(Str, "*", "*")

Dim re
Set re = New RegExp
re.IgnoreCase = True
re.Global = True
re.Pattern = "(w)(here)"
Str = re.Replace(Str, "$1here")
re.Pattern = "(s)(elect)"
Str = re.Replace(Str, "$1elect")
re.Pattern = "(i)(nsert)"
Str = re.Replace(Str, "$1nsert")
re.Pattern = "(c)(reate)"
Str = re.Replace(Str, "$1reate")
re.Pattern = "(d)(rop)"
Str = re.Replace(Str, "$1rop")
re.Pattern = "(a)(lter)"
Str = re.Replace(Str, "$1lter")
re.Pattern = "(d)(elete)"
Str = re.Replace(Str, "$1elete")
re.Pattern = "(u)(pdate)"
Str = re.Replace(Str, "$1pdate")
re.Pattern = "(\s)(or)"
Str = re.Replace(Str, "$1or")
re.Pattern = "(\n)"
Str = re.Replace(Str, "$1or")
'----------------------------------
re.Pattern = "(java)(script)"
Str = re.Replace(Str, "$1script")
re.Pattern = "(j)(script)"
Str = re.Replace(Str, "$1script")
re.Pattern = "(vb)(script)"
Str = re.Replace(Str, "$1script")
'----------------------------------
If Instr(Str, "expression") > 0 Then
Str = Replace(Str, "expression", "e­xpression", 1, -1, 0) '防止xss注入
End If
Set re = Nothing
Checkxss = Str

End Function

使用方法:Checkxss(request.QueryString("变量")),或者Checkxss(request.form("表单名"))。追问

请问必须保存为unicode编码吗?
"expression", "e­xpression"
这两个expression有什么区别呢?

以上是关于asp网站如何防止XSS攻击的主要内容,如果未能解决你的问题,请参考以下文章

如何防止来自 ASP 的 XSS 攻击

网站安全与攻击

PHP如何防止XSS攻击与XSS攻击原理

利用微软AntiXss Library过滤输出字符,防止XSS攻击

如何在 django 中防止 XSS 攻击

PHP如何防止XSS攻击