今天就跟大家聊聊有關(guān)怎么在.net中防御core和 xss攻擊，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

10年積累的成都網(wǎng)站建設(shè)、網(wǎng)站制作經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先網(wǎng)站設(shè)計(jì)后付款的網(wǎng)站建設(shè)流程，更有城口免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

XSS攻擊全稱跨站腳本攻擊 ，是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，故將跨站腳本攻擊縮寫為XSS，XSS是一種在web應(yīng)用中的計(jì)算機(jī)安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。

比如我們?cè)诒韱翁峤坏臅r(shí)候插入腳本代碼

如果不進(jìn)行處理，那么就是這種效果，我這里只是演示一個(gè)簡單的彈窗

下面給大家分享一下我的解決方案。

需要用到這個(gè)庫:HtmlSanitizer

https://github.com/mganss/HtmlSanitizer

新建一個(gè)過濾類。

 public class XSS
  {
    private HtmlSanitizer sanitizer;
    public XSS()
    {
      sanitizer = new HtmlSanitizer();
      //sanitizer.AllowedTags.Add("div");//標(biāo)簽白名單
      sanitizer.AllowedAttributes.Add("class");//標(biāo)簽屬性白名單,默認(rèn)沒有class標(biāo)簽屬性      
      //sanitizer.AllowedCssProperties.Add("font-family");//CSS屬性白名單
    }

    /// <summary>
    /// XSS過濾
    /// </summary>
    /// <param name="html">html代碼</param>
    /// <returns>過濾結(jié)果</returns>
    public string Filter(string html)
    {
      string str = sanitizer.Sanitize(html);
      return str;
    }
  }

新建一個(gè)過濾器

 public class FieldFilterAttribute : Attribute,IActionFilter
  {
    private XSS xss;
    public FieldFilterAttribute()
    {
      xss = new XSS();
    }

    //在Action方法之回之后調(diào)用
    public void OnActionExecuted(ActionExecutedContext context)
    {

    }

    //在調(diào)用Action方法之前調(diào)用
    public void OnActionExecuting(ActionExecutingContext context)
    {
      //獲取Action參數(shù)集合
      var ps = context.ActionDescriptor.Parameters;
      //遍歷參數(shù)集合
      foreach (var p in ps)
      {
        if (context.ActionArguments[p.Name] != null)
        {
          //當(dāng)參數(shù)等于字符串
          if (p.ParameterType.Equals(typeof(string)))
          {
            context.ActionArguments[p.Name] = xss.Filter(context.ActionArguments[p.Name].ToString());
          }
          else if (p.ParameterType.IsClass)//當(dāng)參數(shù)等于類
          {
            ModelFieldFilter(p.Name, p.ParameterType, context.ActionArguments[p.Name]);
          }
        }          

      }
    }

    /// <summary>
    /// 遍歷修改類的字符串屬性
    /// </summary>
    /// <param name="key">類名</param>
    /// <param name="t">數(shù)據(jù)類型</param>
    /// <param name="obj">對(duì)象</param>
    /// <returns></returns>
    private object ModelFieldFilter(string key, Type t, object obj)
    {
      //獲取類的屬性集合
      var ats = t.GetCustomAttributes(typeof(FieldFilterAttribute), false);


      if (obj != null)
      {
        //獲取類的屬性集合
        var pps = t.GetProperties();

        foreach (var pp in pps)
        {
          if(pp.GetValue(obj) != null)
          {
            //當(dāng)屬性等于字符串
            if (pp.PropertyType.Equals(typeof(string)))
            {
              string value = pp.GetValue(obj).ToString();
              pp.SetValue(obj, xss.Filter(value));
            }
            else if (pp.PropertyType.IsClass)//當(dāng)屬性等于類進(jìn)行遞歸
            {
              pp.SetValue(obj, ModelFieldFilter(pp.Name, pp.PropertyType, pp.GetValue(obj)));
            }
          }
          
        }
      }

      return obj;
    }
  }

  //屬性過濾器
  [FieldFilter]
  public class NoteBookController : ManageController
  {
    //筆記操作接口
    private INoteBookAppService _noteBookApp;
    public NoteBookController(INoteBookAppService noteBookApp)
    {
      this._noteBookApp = noteBookApp;
    }
    public IActionResult Tab()
    {
      return View();
    }

  }

看完上述內(nèi)容，你們對(duì)怎么在.net中防御core和 xss攻擊有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

網(wǎng)站題目：怎么在.net中防御core和xss攻擊-創(chuàng)新互聯(lián)
網(wǎng)站網(wǎng)址：http://www.rwnh.cn/article22/dgsecc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供python、全網(wǎng)營銷推廣、網(wǎng)站策劃、營銷型網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)