• AntiXSS 支持Html同时防止XSS攻击


    AntiXSS - 支持Html同时防止XSS攻击

     

    跨站脚本攻击(XSS)已经不是什么新鲜的话题了,甚至很多大公司也为此吃尽苦头。最简单直接的防范方法,就是不允许任何html标签输入,对用户输入进行编码(htmlencode)。

    但是如果想用户输入支持一些格式,怎么办?一种办法就是很多论坛采用的BB Code的方法。使用特定的标签代替一些格式。比如:[B]表示粗体,等等。但是,BB Code这种形式并不被广泛接受,它的表现力实在太差了,而且并不是标准格式。

    为了让用户的输入更具表现力,涌现了大量的Html编辑器控件,著名的有FCKEditorFreeTextBoxRich TextBoxCute EditorTinyMCE等等。比如,博客园的后台发随笔就支持Cute Editor和TinyMCE,我个人比较喜欢Cute Editor,功能强大,性能不错,而且容易定制。

    使用这些Html编辑器控件的潜在危险,是用户可能会输入一些危险字符,注入到网站中,形成XSS攻击。一个最简单的输入就是:


    <javascript>alert('xss')</javascript>

    如何防止呢?大致思路有三种:
    1. 正则表达式的白名单过滤机制。
    2. 正则表达式的黑名单替换机制。
    3. 通过DOM对象过滤白名单和黑名单的标签。

    下面这个地址列举了很多这样的过滤方法:
    http://refactormycode.com/codes/333-sanitize-html

    不过,我试了上面链接里的一些方法,并不是很好用。有一个更简单好用的东西,就是AntiXSS,由微软推出的用于防止XSS攻击的一个类库。它的实现原理也是使用白名单机制,不过这个白名单对我们来说是一个黑盒,我用reflector粗略看了一下,也没找到所谓的白名单在哪里。不过,这个库确实很好用。

    一个MSDN里图文并茂的使用说明:http://msdn.microsoft.com/en-us/library/aa973813.aspx

    其实我用的很简单,就是AntiXss.GetSafeHtmlFragment(html)方法,这个方法会替换掉html里的危险字符。比如:

    var html = "<a href=\"#\" onclick=\"alert();\">aaaaaaaaa</a>javascript<P><IMG SRC=javascript:alert('XSS')><javascript>alert('a')</javascript><IMG src=\"abc.jpg\"><IMG><P>Test</P>";

    string safeHtml = AntiXss.GetSafeHtmlFragment(html);
    Console.WriteLine(safeHtml);

    上面的危险内容被成功替换,返回的内容是:

    <href="">aaaaaaaaa</a>javascript
    <p><img src="">alert('a')<img src="abc.jpg"><img></p>
    <p>Test</p>

    嗯,非常安全。然后,又有一个疑问了,是应该将用户的输入过滤之后写入数据库呢?还是在输出界面显示的时候进行过滤?其实,通常来讲,在输出界面显示的时候进行过滤就够了,将用户输入过滤后写入数据库不是很必要,因为即使这样也无法保证数据库中没有危险的数据。当然,上个双保险也没有什么不好的。

    作者:CoderZhCoderZh的技术博客 - 博客园
    微博:http://t.sina.com.cn/coderzh
    出处:http://coderzh.cnblogs.com
    文章版权归本人所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

     
  • 相关阅读:
    HA: Chakravyuh Vulnhub Walkthrough
    HA Rudra: Vulnhub Walkthrough
    关于Fastjson 1.2.24 反序列化导致任意命令执行漏洞
    关于MySQL注入漏洞到获取webshell
    Windows宏病毒利用
    常规高危端口
    HA Joker Vulnhub Walkthrough
    面试题:对Vue的响应式数据/双向数据绑定原理的理解
    面试题: 对MVVN的理解
    面试题:localStorage、sessionStorage、Cookie的区别详解
  • 原文地址:https://www.cnblogs.com/ypfnet/p/2672179.html
Copyright © 2020-2023  润新知