快捷導(dǎo)航

Asp.net之?dāng)?shù)據(jù)過(guò)濾淺析

更新時(shí)間：2011年11月19日 18:27:48 作者：

在B/S開(kāi)發(fā)中，安全性能應(yīng)該是需要注意的，很多年前有位高人說(shuō)過(guò)，凡是來(lái)自客戶端的數(shù)據(jù)，都是不可信的，今天開(kāi)發(fā)時(shí)，把數(shù)據(jù)過(guò)濾的方法重寫(xiě)了一下，所以忍不住想拿出來(lái)討論下，歡迎大家指點(diǎn)

在Asp.net開(kāi)如中，引發(fā)安全問(wèn)題最多的大多來(lái)自于以下三個(gè)方面：
　　1.上傳
　　2.跨站
　　3.注入
　　上傳的安全問(wèn)題不在本文討論范圍內(nèi)，這里只討論跨站與注入的問(wèn)題，而這兩者都是基本可以通過(guò)過(guò)濾來(lái)處理的！把注入放在最后面是因?yàn)椋琒QL注入玩了這么多年，大家應(yīng)當(dāng)有了一定的防范，只要稍有點(diǎn)注意，能在asp.net上面玩下的注入還是相當(dāng)少的！注意這以下幾點(diǎn)。
　　1.所有的參數(shù)。如果是int類型的，請(qǐng)轉(zhuǎn)換成int再處理! 別拿裝箱與拆箱來(lái)說(shuō)事!估計(jì)現(xiàn)在大家也不會(huì)把sql語(yǔ)句直接在web里面拼接了，起碼也要用上幾個(gè)類，中間的一些簡(jiǎn)單的邏輯處理！類型轉(zhuǎn)換還是要涉及到的
　　2.盡量使用參數(shù)化查詢！
　　3.起碼要注意過(guò)濾單引號(hào)（其實(shí)如果使用參數(shù)化查詢，不過(guò)濾也沒(méi)事，不過(guò)我還是習(xí)慣性過(guò)濾）！
　?。?不要直接把錯(cuò)誤赤裸裸的暴露給用戶！這點(diǎn)不僅僅是為了防范注入，同時(shí)也是一個(gè)用戶體驗(yàn)問(wèn)題！通過(guò)重寫(xiě)OnError事件，再繼承，能很好的處理！
　　而相對(duì)于跨站，防洗耳范起來(lái)就麻煩多了，過(guò)濾一直是個(gè)很糾結(jié)的東西，過(guò)濾太嚴(yán)了，影響正常使用，沒(méi)過(guò)濾好，又引發(fā)安全問(wèn)題！我把我剛寫(xiě)的過(guò)濾類拿出來(lái)，也許其中還有沒(méi)有考慮到的地方，希望大家指點(diǎn)，

復(fù)制代碼代碼如下:

 
public static string StringFilters(string input) 
{ 
if (string.IsNullOrEmpty(input)) 
return input; 
/*跨站攻擊過(guò)慮*/ 
input = input.Replace("&#", "&＃");//過(guò)濾&#　攻擊方式&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29 
input = Regex.Replace(input, @"javascript:", "&#74;aｖasｃript&#58;", RegexOptions.IgnoreCase);//過(guò)濾JS 攻擊方式：javascript:alert('XSS'); 
input = Regex.Replace(input, @"vbscript:", "&#86;&#98;scｒiｐt&#58;", RegexOptions.IgnoreCase);//過(guò)濾JS 攻擊方式：vbscript:msgbox('XSS'); 
input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "&#86;&#98;scｒiｐt&#58;", RegexOptions.IgnoreCase);//攻擊方式：java script:alert('XSS'); 
input = Regex.Replace(input, @"\/\*[sS]*\*\/", "<!-- code -->", RegexOptions.IgnoreCase); 
input = Regex.Replace(input, @"expression", "ｅxpreｓsiｏn", RegexOptions.IgnoreCase); 
input = Regex.Replace(input, @"<[\u0020]*style[^>]*>", "&#83;&#58;yle", RegexOptions.IgnoreCase); 
input = Regex.Replace(input, @"<[^>]*object[^>]*>", "&#111;&#98jec&$58", RegexOptions.IgnoreCase);//攻擊方式 <OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn"></OBJECT> 注意，這樣過(guò)濾后將無(wú)法使用FLASH 
/*各種事件過(guò)濾*/ 
input = Regex.Replace(input, @"<[^>]*[\u0020]+on[A-Za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);// 
input = input.Replace("'", "&#39;");//單引號(hào)防止ＳＱＬ注入 
input = Regex.Replace(input, @"script", "&#83;&#99;ript", RegexOptions.IgnoreCase);//防止腳本攻擊 
input = Regex.Replace(input, @"frame", "&#102;&#114;ame", RegexOptions.IgnoreCase);//防止iframe 掛馬 
input = Regex.Replace(input, @"form", "&#102;&#111;rm", RegexOptions.IgnoreCase);//禁止表單提交 
input = Regex.Replace(input, @"meta", "&#109;&#101;ta", RegexOptions.IgnoreCase);//防止用使meta跳轉(zhuǎn)到非法網(wǎng)頁(yè) 
return input; 
} 

補(bǔ)充一下，過(guò)濾千萬(wàn)不要把字符串過(guò)慮成空，這樣同樣存在安全問(wèn)題，必須過(guò)慮成另外一個(gè)字符串，比如過(guò)濾你好，那么用戶可以構(gòu)建這樣一個(gè)字符“你你好好”,通過(guò)Replace("你好","")之后，輸出的結(jié)果，我不說(shuō)大家也知道！
另外，這里是考慮了支持ＨＴＭＬ的情況，所以沒(méi)有直接過(guò)慮尖括號(hào)！

您可能感興趣的文章: