Anti-XSS

msi安装程序,安装之后,安装目录下有以下文件
AntiXSS.chm   包括类库的操作手册参数说明
HtmlSanitizationLibrary.dll    包含Sanitizer类(输入白名单)
AntiXSSLibrary.dll    包含Antixss,Encoder类(输出转义)
使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary.dll
导入命名空间using Microsoft.Security.Application;
 
1、输入白名单
调用Sanitizer.GetSafeHtmlFragment方法即可,url_c未过滤后的干净字串
 
            url = Request.QueryString["url"];
            url_c = Sanitizer.GetSafeHtmlFragment(url);
            Response.Write(url_c);
2、输出转义
 
            //HTML内容编码
            html_cont = Encoder.HtmlEncode(url);
            //html_cont = url;
 
            //HTML属性编码
            input1.Value = Encoder.HtmlAttributeEncode(url);
            //input1.Value = url;
 
            //对js进行编码
            url_c = Encoder.JavaScriptEncode(url);
            //url_c = url;
 
            //URL编码
            img1.Src = Encoder.UrlEncode(url);
            //img1.Src = url;
 
            //XML属性编码
            isbn = Encoder.XmlAttributeEncode(Request.QueryString["isbn"]);
        
             //XML内容编码
            price = Encoder.XmlEncode(Request.QueryString["price"]);
            price = Request.QueryString["price"];

参见:http://www.2cto.com/Article/201107/95175.html

   http://www.cnblogs.com/shanyou/archive/2009/07/16/1524515.html

但是不能检查js数据,这篇文章有解决办法:http://blog.csdn.net/cassaba/article/details/21094011

时间: 2024-10-18 15:02:58

Anti-XSS的相关文章

Anti XSS 防跨站脚本攻击库

https://wpl.codeplex.com/ Before understanding Anti-Cross Site Scripting Library (AntiXSS), let us understand Cross-Site Scripting(XSS). Cross-site Scripting (XSS) Cross-Site Scripting attacks are a type of injection problem, in which malicious scrip

ASP.NET安全[开发ASP.NET MVC应用程序时值得注意的安全问题](转)

概述 安全在web领域是一个永远都不会过时的话题,今天我们就来看一看一些在开发ASP.NET MVC应用程序时一些值得我们注意的安全问题.本篇主要包括以下几个内容 : 认证 授权 XSS跨站脚本攻击 跨站请求伪造 认证 所谓认证,简单的来说就是验证一个用户的身份.这取决于我们开发的站点的类型,是否允许匿名访问,是否是属于管理员或者其它角色的用户等等.也就是说我们的整个程序或者某些功能是针对某些特定的用户开发的,那么我们可能就要进行认证来确定用户的身份.需要注意的是,认证与授权是是完全不一样的概念

Web安全——跨站脚本攻击(XSS)

web常见攻击手段 我只会大概提及它的攻击原理和预防方法,具体的实现和深入研究还请大家自行百度,因为只有真正需要用到才会去详细了解,这里我只为web安全小白做知识扫盲.因为博主目前接触最多的服务端语言是JAVA所以例子都从java web项目来讲. 跨站脚本攻击(XSS) 虽然我们目前做的是一个博客的小网站,但是以后无论是自己的博客还是实际的项目,都可以用图片来提供外链,方便管理,如果你的网站访问量很高啊,一天几十万几百万啊,我的天啊,这时候你考虑的就不是服务器空间够不够大,而是惊人的并发数啊,

WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等

核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Webshell上传.命令注入.非法HTTP协议请求.非授权文件访问等.

爱创课堂每日一题第十二天 XSS原理及防范?

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意 html标签或者javascript代码.比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息:或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点.XSS防范方法首先代码里对用户输入的地方和变量都需要仔细检查长度和对"<",">",";",&q

Web安全--XSS现代WAF规则探测及绕过技术

XSS现代WAF规则探测及绕过技术初始测试 1.使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等: 2.如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应: 3.尝试以下的payload 1 <script>alert(1);</script> 2 <script>prompt(1);<

DVWA篇六:存储型XSS

1      测试环境介绍 测试环境为OWASP环境中的DVWA模块 2      测试说明 XSS又叫CSS (CrossSite Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等等.利用该漏洞,攻击者可以劫持已通过验证的用户的会话.劫持到已验证的会话后,攻击发起者拥有该授权用户的所有权限. 3      测试

二哥的xss游戏

断断续续做完了,收获挺多的. 地址:http://xsst.sinaapp.com/xss/ 第一题http://xsst.sinaapp.com/xss/ext/1.php?umod=commentsoutlet&act=count&siteid=3&libid=9%3Cimg%3Ea&dataid=1480&score=1%3Cimg%20src=1%20onerror=alert(1)%3Eaa&func=haoping&_=135347526

前端安全(XSS、CSRF防御)

一.网络安全 OWASP:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project) OWASP是一个开源的.非盈利的全球性安全组织,致力于应用软件的安全研究.http://www.owasp.org.cn/ 二.XSS攻击 1.总述 2.XSS攻击原理 XSS攻击(Cross-Site Scripting)跨站脚本攻击. 被OWASP评为十大安全漏洞中的第二威胁漏洞. 特点:能注入恶意的HTML/JavaScript代码到用户浏览的网

防御 XSS 的七条原则

本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS Attack><DOM Based XSS> 攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为没有办法知道这段脚本是不可信的,所以依然会执行它.对于浏览器而言,它认为这段 脚本是来自可以信任的服务器的,所以脚本可以光明正大地访问Cookie,或者保存在浏览器里被当前网站所用的敏