XSS×××全稱跨站腳本×××,是爲不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本×××縮寫爲XSS,XSS是一種在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
比如我們在表單提交的時候插入腳本代碼
如果不進行處理,那麼就是這種效果,我這裏只是演示一個簡單的彈窗
下面給大家分享一下我的解決方案。
需要用到這個庫:HtmlSanitizer
https://github.com/mganss/HtmlSanitizer
新建一個過濾類。
複製代碼
public class XSS
{
private HtmlSanitizer sanitizer;
public XSS()
{
sanitizer = new HtmlSanitizer();
//sanitizer.AllowedTags.Add("div");//標籤白名單
sanitizer.AllowedAttributes.Add("class");//標籤屬性白名單,默認沒有class標籤屬性
//sanitizer.AllowedCssProperties.Add("font-family");//CSS屬性白名單
}
/// <summary>
/// XSS過濾
/// </summary>
/// <param name="html">html代碼</param>
/// <returns>過濾結果</returns>
public string Filter(string html)
{
string str = sanitizer.Sanitize(html);
return str;
}
}複製代碼
新建一個過濾器
複製代碼
public class FieldFilterAttribute : Attribute,IActionFilter
{
private XSS xss;
public FieldFilterAttribute()
{
xss = new XSS();
}
//在Action方法之回之後調用
public void OnActionExecuted(ActionExecutedContext context)
{
}
//在調用Action方法之前調用
public void OnActionExecuting(ActionExecutingContext context)
{
//獲取Action參數集合
var ps = context.ActionDescriptor.Parameters;
//遍歷參數集合
foreach (var p in ps)
{
if (context.ActionArguments[p.Name] != null)
{
//當參數等於字符串
if (p.ParameterType.Equals(typeof(string)))
{
context.ActionArguments[p.Name] = xss.Filter(context.ActionArguments[p.Name].ToString());
}
else if (p.ParameterType.IsClass)//當參數等於類
{
ModelFieldFilter(p.Name, p.ParameterType, context.ActionArguments[p.Name]);
}
}
}
}
/// <summary>
/// 遍歷修改類的字符串屬性
/// </summary>
/// <param name="key">類名</param>
/// <param name="t">數據類型</param>
/// <param name="obj">對象</param>
/// <returns></returns>
private object ModelFieldFilter(string key, Type t, object obj)
{
//獲取類的屬性集合
var ats = t.GetCustomAttributes(typeof(FieldFilterAttribute), false);
if (obj != null)
{
//獲取類的屬性集合
var pps = t.GetProperties();
foreach (var pp in pps)
{
if(pp.GetValue(obj) != null)
{
//當屬性等於字符串
if (pp.PropertyType.Equals(typeof(string)))
{
string value = pp.GetValue(obj).ToString();
pp.SetValue(obj, xss.Filter(value));
}
else if (pp.PropertyType.IsClass)//當屬性等於類進行遞歸
{
pp.SetValue(obj, ModelFieldFilter(pp.Name, pp.PropertyType, pp.GetValue(obj)));
}
}
}
}
return obj;
}
}複製代碼
複製代碼
//屬性過濾器
[FieldFilter]
public class NoteBookController : ManageController
{
//筆記操作接口
private INoteBookAppService _noteBookApp;
public NoteBookController(INoteBookAppService noteBookApp)
{
this._noteBookApp = noteBookApp;
}
public IActionResult Tab()
{
return View();
}
}複製代碼
然後在需要過濾的控制器加上過濾控制器特性就可以了。這樣所有string類型的參數就都會進行過濾了。如果不需要對整個控制器進行過濾,只需要在相應的Action加上特性。