我試圖保護我的網站免受跨站點腳本(XSS)的攻擊,並且我正在考慮使用正則表達式來驗證用戶輸入。防止XSS或其他東西的正則表達式?
這裏是我的問題:我有危險的HTML標籤的列表...
<applet>
<body>
<embed>
<frame>
<script>
<frameset>
<html>
<iframe>
<img>
<style>
<layer>
<link>
<ilayer>
<meta>
<object>
...我想將它們包括在正則表達式 - 這可能嗎?如果不是,我應該使用什麼?你有什麼想法如何實現這樣的東西?
請閱讀OWASP XSS (Cross Site Scripting) Prevention Cheat Sheet瞭解各種信息。黑名單標籤並不是一種非常有效的方式,而且會留下空白。你應該過濾輸入,在輸出到瀏覽器之前進行清理,對HTML實體進行編碼,以及在我的鏈接中討論的各種其他技術。
您應該將字符串編碼爲HTML。使用DOTNET方法
HttpUtils.HtmlEncode(string text)
還有更多的細節http://msdn.microsoft.com/en-us/library/73z22y6h.aspx
黑名單的消毒是無效的,因爲已經討論過了。想想會發生什麼黑名單,當有人提出打造輸入:
<SCRIPT>
<ScRiPt>
< S C R I P T >
<scr�ipt>
<scr<script>ipt>(你申請的黑名單遞歸;-))
這不是一個枚舉可能發生的攻擊,但只是一些例子要記住黑名單如何被擊敗。這些將全部在瀏覽器中正確呈現。
public static bool ValidateAntiXSS(string inputParameter)
{
if (string.IsNullOrEmpty(inputParameter))
return true;
// Following regex convers all the js events and html tags mentioned in followng links.
//https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
//https://msdn.microsoft.com/en-us/library/ff649310.aspx
var pattren = new StringBuilder();
//Checks any js events i.e. onKeyUp(), onBlur(), alerts and custom js functions etc.
pattren.Append(@"((alert|on\w+|function\s+\w+)\s*\(\s*(['+\d\w](,?\s*['+\d\w]*)*)*\s*\))");
//Checks any html tags i.e. <script, <embed, <object etc.
pattren.Append(@"|(<(script|iframe|embed|frame|frameset|object|img|applet|body|html|style|layer|link|ilayer|meta|bgsound))");
return !Regex.IsMatch(System.Web.HttpUtility.UrlDecode(inputParameter), pattren.ToString(), RegexOptions.IgnoreCase | RegexOptions.Compiled);
}
Upvote至少試圖做OP的要求!不知道它是否工作...;) – 2016-11-03 11:16:32
爲什麼這些輸入是危險的?一個字符串不是危險的,這是你用它做的事情,這可能是危險的。那麼你對輸入做什麼? – 2013-03-22 19:26:13
Obligatory:http://stackoverflow.com/questions/1732348/regex-match-open-tags-except-xhtml-self-contained-tags – 2013-03-22 19:27:20
'' – Andrey 2013-03-22 19:28:13