当前位置: 首页 > news >正文

asp.net core中间件预防防止xss攻击

news 2025/6/23 22:11:50 
using System;
using System.Text.Json;
using System.Text.Json.Serialization;namespace CommonUtils
{/// <summary>/// newtonsoft的转化器/// 防止xss攻击/// </summary>public class AntiXssNewtonsoftConverter : Newtonsoft.Json.JsonConverter<string>{/// <summary>/// 读取的时候/// 就是输入的时候进行处理/// </summary>/// <param name="reader"></param>/// <param name="objectType"></param>/// <param name="existingValue"></param>/// <param name="hasExistingValue"></param>/// <param name="serializer"></param>/// <returns></returns>public override string ReadJson(Newtonsoft.Json.JsonReader reader, Type objectType, string existingValue, bool hasExistingValue, Newtonsoft.Json.JsonSerializer serializer){//多次解码无影响,防止输出的时候多次编码导致字符串乱码var res = System.Web.HttpUtility.HtmlDecode(reader.Value.ToString());//进行编码res = System.Web.HttpUtility.HtmlEncode(res);return res;}/// <summary>/// 写出的时候/// 也可以在写出的时候进行,这里演示的写入的时候,到时候反过来就行了/// </summary>/// <param name="writer"></param>/// <param name="value"></param>/// <param name="serializer"></param>public override void WriteJson(Newtonsoft.Json.JsonWriter writer, string value, Newtonsoft.Json.JsonSerializer serializer){writer.WriteValue(value);}/*全局使用services.AddControllers().AddNewtonsoftJson(options=>{options.SerializerSettings.Converters.Add(new AntiXssSystemTextConverter());});某个属性使用[JsonConverter(typeof(AntiXssNewtonsoftConverter))]public string? Id { get; set; }*/}/// <summary>/// system.text.json转化器/// 原理同newtonsoft,主要是看web项目使用的是那个json序列化工具/// </summary>public class AntiXssSystemTextConverter : JsonConverter<string>{/// <summary>/// 读取的时候/// </summary>/// <param name="reader"></param>/// <param name="typeToConvert"></param>/// <param name="options"></param>/// <returns></returns>/// <exception cref="NotImplementedException"></exception>public override string Read(ref Utf8JsonReader reader, Type typeToConvert, JsonSerializerOptions options){//多次解码无影响,防止输出的时候多次编码导致字符串乱码var res = System.Web.HttpUtility.HtmlDecode(reader.GetString());//进行编码res = System.Web.HttpUtility.HtmlEncode(res);return res;}/// <summary>/// 写出的时候/// </summary>/// <param name="writer"></param>/// <param name="value"></param>/// <param name="options"></param>/// <exception cref="NotImplementedException"></exception>public override void Write(Utf8JsonWriter writer, string value, JsonSerializerOptions options){writer.WriteStringValue(value);}/*全局使用services.AddControllers().AddJsonOptions(options=>{options.JsonSerializerOptions.Converters.Add(new AntiXssSystemTextConverter());});某个属性使用[JsonConverter(typeof(AntiXssSystemTextConverter))]public string? Id { get; set; }*/}
}

上面实现思路是针对json序列化后的string字符串进行编码防止xss攻击
其他实现比如中间件、Action的AOP方法也是可以的,可以自己实现

主要是看web项目使用的是那个json序列化工具newtonsoft就用newtonsoft,system.text.json就用下面的那个

http://www.lryc.cn/news/185943.html

相关文章:

  • jvm概述
  • C++简单上手helloworld 以及 vscode找不到文件的可能性原因
  • 掌动智能:性能压力测试的重要性
  • kafka日志文件详解及生产常见问题总结
  • Linux-Centos中配置docker
  • IDEA-2023-jdk8 HelloWorld的实现
  • 【1++的Linux】之进程(五)
  • 用url类来访问服务器上的文件
  • 【重拾C语言】六、批量数据组织(二)线性表——分类与检索(主元排序、冒泡排序、插入排序、顺序检索、对半检索)
  • 24 Python的sqlite3模块
  • ARM-流水灯
  • 【虚拟机】NAT 模式下访问外网
  • React 入门笔记
  • Ubuntu MySQL
  • 大数据软件系统开发框架
  • rust变量
  • 蓝桥杯---第一讲 递归与递推
  • OpenCV 15(SIFT/SURF算法)
  • 前端二维码图片解析图片识别/网络图片解析成链接/图片网络链接转本地链接(Js/Vue/Jquery)
  • 模板中的依赖类型使用 --- typename
  • git 同时配置 gitee github
  • 2023.10.8 面试
  • 【前端】js实现队列功能 先进后出 先进先出 等
  • 07.数据持久化之文件操作
  • nginx开启https配置之后网页无法访问问题处理
  • 文本嵌入层
  • 如何搭建自动化测试框架
  • 抄写Linux源码(Day17:你的键盘是什么时候生效的?)
  • 在原生html中使用less
  • 【Qt】顶层窗口和普通窗口区别以及用法