码迷,mamicode.com
首页 > 其他好文 > 详细

利用微软AntiXss Library过滤输出字符,防止XSS攻击

时间:2017-12-12 15:11:41      阅读:135      评论:0      收藏:0      [点我收藏+]

标签:asp.net   ram   efi   color   ken   输出   message   pre   start   

假如项目在前期没有过滤客户提交的字符,那么可以在输出的时候,对输出的字符进行过滤,防止出现XSS跨域攻击。

原理简单:利用ASP.NET API的管道原理,在MessageHandlers中添加一个自定义的处理环节。

好了,源代码如下:

public class MessageFilterOutputHandler : MessageHandler
    {
        protected override async Task OutgoingMessageAsync(HttpResponseMessage message)
        {
            var ps = await message.Content.ReadAsStringAsync();
            ps = AntiXssEncoder.HtmlEncode(ps, false);
            message.Content = new StringContent(ps);
        }
    }
    public abstract class MessageHandler : DelegatingHandler
    {
        protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
        {
            var response = await base.SendAsync(request, cancellationToken);

            await OutgoingMessageAsync(response);

            return response;
        }
        protected abstract Task OutgoingMessageAsync(HttpResponseMessage message);
    }

其中,OutgoingMessageAsync方法中,利用了微软的AntiXss类库,防止输出:<script>,<iframe>等敏感字符。

另外,Global文件中,在Application_Start方法中添加,对MessageFilterOutputHandler的调用。

GlobalConfiguration.Configuration.MessageHandlers.Add(new MessageFilterOutputHandler());

 

 

文章出处:www.cnblogs.com/jizhong

 

利用微软AntiXss Library过滤输出字符,防止XSS攻击

标签:asp.net   ram   efi   color   ken   输出   message   pre   start   

原文地址:http://www.cnblogs.com/tianciliangen/p/8027495.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!