关于在线文本编辑器防XSS注入攻击问题

Posted 桃花雪

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于在线文本编辑器防XSS注入攻击问题相关的知识,希望对你有一定的参考价值。

跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如<script>alert(\'这是一个页面弹出警告\');</script>这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的。

为了避免上述的XSS代码攻击,解决办法是可以使用HttpUitility的htmlEncode或者最好使用微软发布的AntiXSSLibrary进行处理,这个更安全。微软反跨站脚本库(AntiXSSLibrary)是一种编码库,旨在帮助保护开发人员保护他们的基于Web的应用不被XSS攻击。

编码方法

使用场景

示例

HtmlEncode(String)

不受信任的HTML代码。 <a href=”http://www.cnblogs.com”>Click Here [不受信任的输入]</a>
HtmlAttributeEncode(String)

 

不受信任的HTML属性

<hr noshade size=[不受信任的输入]>

javascriptEncode(String)

不受信任的输入在JavaScript中使用

<script type=”text/javascript”>

[Untrusted input]

</script>

UrlEncode(String)

 

不受信任的URL

<a href=”http://cnblogs.com/results.aspx?q=[Untrusted input]”>Cnblogs.com</a>

VisualBasicScriptEncode(String)

不受信任的输入在VBScript中使用

<script type=”text/vbscript” language=”vbscript”>

[Untrusted input]

</script>

XmlEncode(String)

不受信任的输入用于XML输出

<xml_tag>[Untrusted input]</xml_tag>

XmlAttributeEncode(String)

 

不 受信任的输入用作XML属性

<xml_tag attribute=[Untrusted input]>Some Text</xml_tag>              

 

然而,特殊情况如通过文本编辑器提交文章内容时,由于排版和格式化的原因,需要展示出html效果,以上方法行不通,此时需要既能展示出html效果,又要处理掉危险的xss代码。微软提供的HtmlSanitizationLibrary类库可以很好解决此问题。

string safecode=Sanitizer.GetSafeHtmlFragment(txtName.Text);

此方法能够自动过滤掉特殊的代码,又不影响html效果显示。

以上是关于关于在线文本编辑器防XSS注入攻击问题的主要内容,如果未能解决你的问题,请参考以下文章

TP5框架 《防sql注入、防xss攻击》

整理php防注入和XSS攻击通用过滤

PHP防XSS 防SQL注入的代码

XSS攻击

tp5防xss攻击方法

WEB防XSS攻击