我只是不知道该怎么想了。似乎制作 javascript 的人不遗余力地允许它以一百万种不同的方式编写,这样黑客就可以大展拳脚了。
我终于通过使用 html agility pack 获得了我的白名单。它应该删除
<scrpit></script>
因为它不在我的白名单中加上任何onclick、onmouse 等。
不过现在看来你可以在属性标签中写javascript。
<IMG SRC="javascript:alert('hi');">
并且因为我允许 SRC 属性,所以我的白名单无法帮助我解决这个问题。所以我想出了在最后遍历所有有效属性并查看它们内部的想法。
因此它会为每个 html 标签找到我允许的所有属性(例如 src、href 等)。
然后我找到了 innertext 并将其设置为小写。然后我对该字符串进行了“javascript”索引检查。
如果找到一个索引,我从那个索引开始,然后从那个索引上删除每个字符。所以在上述情况下,属性将保留为 Src=""。
现在看来这还不够好,因为你可以做类似的事情
java脚本 java脚本
可能每个字母之间都有一个空格。
所以我不知道如何阻止它。如果它只是 java 和脚本之间的一个空格,那么我可以编写一个简单的正则表达式,而不关心它们之间有多少空格。但是,如果真的可以在每个字母后放置一个空格或制表符或其他任何内容,那么我就不知道了。
最重要的是,您还可以使用所有这些其他很棒的方法
<IMG SRC=javascript:alert('XSS')> // will work apparently
<IMG SRC=javascript:alert('XSS')> // will work apparently
<IMG SRC="jav ascript:alert('XSS');"> // will work apparently
<IMG SRC="jav	ascript:alert('XSS');">// will work apparently
<IMG SRC="jav
ascript:alert('XSS');"> // will work apparently
<IMG SRC="jav
ascript:alert('XSS');"> // will work apparently
我知道这是为了一些跨脚本攻击(我没有让 XSS asp.net mvc 在这方面做得很好)但我不明白为什么它不能用于其他事情,比如所有这些示例都会发出警报,因此它可以用于其他用途。
所以我不知道如何检查和删除这些。
我正在使用 C#,但我不知道如何停止这些操作,也不知道 C# 中有什么可以帮助我的。
最佳答案
似乎您想清除 javascript,而实际上在 C#/.Net 中有一个很好的解决方案。
下载Microsoft Web Protection Library来自 CodePlex。
如果您通过 Microsoft.Security.Application.AntiXss.GetSafeHtmlFragment(html)
运行您的 html 片段,那么您将得到以下输出:
<img src=""> // will work apparently
<img src=""> // will work apparently
<img src=""> // will work apparently
<img src="">// will work apparently
<img src=""> // will work apparently
<img src=""> // will work apparently
清除所有脚本。
关于c# - 你如何对抗所有这些方式? -Javascript 及其数百万种不同的编写方式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3074614/