.net core xss攻擊防御

 

XSS攻擊全稱跨站腳本攻擊，是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，故將跨站腳本攻擊縮寫為XSS，XSS是一種在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。

比如我們在表單提交的時候插入腳本代碼

如果不進行處理，那么就是這種效果，我這里只是演示一個簡單的彈窗

下面給大家分享一下我的解決方案。

需要用到這個庫:HtmlSanitizer

https://github.com/mganss/HtmlSanitizer

新建一個過濾類。

    public class  XSS
    {
        private HtmlSanitizer sanitizer;
        public XSS()
        {
            sanitizer = new HtmlSanitizer();
            //sanitizer.AllowedTags.Add("div");//標簽白名單
            sanitizer.AllowedAttributes.Add("class");//標簽屬性白名單,默認沒有class標簽屬性           
            //sanitizer.AllowedCssProperties.Add("font-family");//CSS屬性白名單
        }

        /// <summary>
        /// XSS過濾
        /// </summary>
        /// <param name="html">html代碼</param>
        /// <returns>過濾結果</returns>
        public string Filter(string html)
        {
            string str = sanitizer.Sanitize(html);
            return str;
        }
    }

新建一個過濾器

    public class FieldFilterAttribute : Attribute,IActionFilter
    {
        private XSS xss;
        public FieldFilterAttribute()
        {
            xss = new XSS();
        }

        //在Action方法之回之后調用
        public void OnActionExecuted(ActionExecutedContext context)
        {

        }

        //在調用Action方法之前調用
        public void OnActionExecuting(ActionExecutingContext context)
        {
            //獲取Action參數集合
            var ps = context.ActionDescriptor.Parameters;
            //遍歷參數集合
            foreach (var p in ps)
            {
                if (context.ActionArguments[p.Name] != null)
                {
                    //當參數等於字符串
                    if (p.ParameterType.Equals(typeof(string)))
                    {
                        context.ActionArguments[p.Name] = xss.Filter(context.ActionArguments[p.Name].ToString());
                    }
                    else if (p.ParameterType.IsClass)//當參數等於類
                    {
                        ModelFieldFilter(p.Name, p.ParameterType, context.ActionArguments[p.Name]);
                    }
                }                   

            }
        }

        /// <summary>
        /// 遍歷修改類的字符串屬性
        /// </summary>
        /// <param name="key">類名</param>
        /// <param name="t">數據類型</param>
        /// <param name="obj">對象</param>
        /// <returns></returns>
        private object ModelFieldFilter(string key, Type t, object obj)
        {
            //獲取類的屬性集合
            //var ats = t.GetCustomAttributes(typeof(FieldFilterAttribute), false);


            if (obj != null)
            {
                //獲取類的屬性集合
                var pps = t.GetProperties();

                foreach (var pp in pps)
                {
                    if(pp.GetValue(obj) != null)
                    {
                        //當屬性等於字符串
                        if (pp.PropertyType.Equals(typeof(string)))
                        {
                            string value = pp.GetValue(obj).ToString();
                            pp.SetValue(obj, xss.Filter(value));
                        }
                        else if (pp.PropertyType.IsClass)//當屬性等於類進行遞歸
                        {
                            pp.SetValue(obj, ModelFieldFilter(pp.Name, pp.PropertyType, pp.GetValue(obj)));
                        }
                    }
                    
                }
            }

            return obj;
        }
    }

    //屬性過濾器
    [FieldFilter]
    public class NoteBookController : ManageController
    {
        //筆記操作接口
        private INoteBookAppService _noteBookApp;
        public NoteBookController(INoteBookAppService noteBookApp)
        {
            this._noteBookApp = noteBookApp;
        }
        public IActionResult Tab()
        {
            return View();
        }

    }

 

然后在需要過濾的控制器加上過濾控制器特性就可以了。這樣所有string類型的參數就都會進行過濾了。如果不需要對整個控制器進行過濾，只需要在相應的Action加上特性。

最后 點個贊吧。