Asp.net之?dāng)?shù)據(jù)過濾淺析

更新時(shí)間：2011年11月19日 18:27:48 作者：

在B/S開發(fā)中，安全性能應(yīng)該是需要注意的，很多年前有位高人說(shuō)過，凡是來(lái)自客戶端的數(shù)據(jù)，都是不可信的，今天開發(fā)時(shí)，把數(shù)據(jù)過濾的方法重寫了一下，所以忍不住想拿出來(lái)討論下，歡迎大家指點(diǎn)

在Asp.net開如中，引發(fā)安全問題最多的大多來(lái)自于以下三個(gè)方面：
　　1.上傳
　　2.跨站
　　3.注入
　　上傳的安全問題不在本文討論范圍內(nèi)，這里只討論跨站與注入的問題，而這兩者都是基本可以通過過濾來(lái)處理的！把注入放在最后面是因?yàn)?，SQL注入玩了這么多年，大家應(yīng)當(dāng)有了一定的防范，只要稍有點(diǎn)注意，能在asp.net上面玩下的注入還是相當(dāng)少的！注意這以下幾點(diǎn)。
　　1.所有的參數(shù)。如果是int類型的，請(qǐng)轉(zhuǎn)換成int再處理! 別拿裝箱與拆箱來(lái)說(shuō)事!估計(jì)現(xiàn)在大家也不會(huì)把sql語(yǔ)句直接在web里面拼接了，起碼也要用上幾個(gè)類，中間的一些簡(jiǎn)單的邏輯處理！類型轉(zhuǎn)換還是要涉及到的
　　2.盡量使用參數(shù)化查詢！
　　3.起碼要注意過濾單引號(hào)（其實(shí)如果使用參數(shù)化查詢，不過濾也沒事，不過我還是習(xí)慣性過濾）！
　?。?不要直接把錯(cuò)誤赤裸裸的暴露給用戶！這點(diǎn)不僅僅是為了防范注入，同時(shí)也是一個(gè)用戶體驗(yàn)問題！通過重寫OnError事件，再繼承，能很好的處理！
　　而相對(duì)于跨站，防洗耳范起來(lái)就麻煩多了，過濾一直是個(gè)很糾結(jié)的東西，過濾太嚴(yán)了，影響正常使用，沒過濾好，又引發(fā)安全問題！我把我剛寫的過濾類拿出來(lái)，也許其中還有沒有考慮到的地方，希望大家指點(diǎn)，

復(fù)制代碼代碼如下:

 
public static string StringFilters(string input) 
{ 
if (string.IsNullOrEmpty(input)) 
return input; 
/*跨站攻擊過慮*/ 
input = input.Replace("&#", "&＃");//過濾&#　攻擊方式&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29 
input = Regex.Replace(input, @"javascript:", "&#74;aｖasｃript&#58;", RegexOptions.IgnoreCase);//過濾JS 攻擊方式：javascript:alert('XSS'); 
input = Regex.Replace(input, @"vbscript:", "&#86;&#98;scｒiｐt&#58;", RegexOptions.IgnoreCase);//過濾JS 攻擊方式：vbscript:msgbox('XSS'); 
input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "&#86;&#98;scｒiｐt&#58;", RegexOptions.IgnoreCase);//攻擊方式：java script:alert('XSS'); 
input = Regex.Replace(input, @"\/\*[sS]*\*\/", "<!-- code -->", RegexOptions.IgnoreCase); 
input = Regex.Replace(input, @"expression", "ｅxpreｓsiｏn", RegexOptions.IgnoreCase); 
input = Regex.Replace(input, @"<[\u0020]*style[^>]*>", "&#83;&#58;yle", RegexOptions.IgnoreCase); 
input = Regex.Replace(input, @"<[^>]*object[^>]*>", "&#111;&#98jec&$58", RegexOptions.IgnoreCase);//攻擊方式 <OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn"></OBJECT> 注意，這樣過濾后將無(wú)法使用FLASH 
/*各種事件過濾*/ 
input = Regex.Replace(input, @"<[^>]*[\u0020]+on[A-Za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);// 
input = input.Replace("'", "&#39;");//單引號(hào)防止ＳＱＬ注入 
input = Regex.Replace(input, @"script", "&#83;&#99;ript", RegexOptions.IgnoreCase);//防止腳本攻擊 
input = Regex.Replace(input, @"frame", "&#102;&#114;ame", RegexOptions.IgnoreCase);//防止iframe 掛馬 
input = Regex.Replace(input, @"form", "&#102;&#111;rm", RegexOptions.IgnoreCase);//禁止表單提交 
input = Regex.Replace(input, @"meta", "&#109;&#101;ta", RegexOptions.IgnoreCase);//防止用使meta跳轉(zhuǎn)到非法網(wǎng)頁(yè) 
return input; 
} 

補(bǔ)充一下，過濾千萬(wàn)不要把字符串過慮成空，這樣同樣存在安全問題，必須過慮成另外一個(gè)字符串，比如過濾你好，那么用戶可以構(gòu)建這樣一個(gè)字符“你你好好”,通過Replace("你好","")之后，輸出的結(jié)果，我不說(shuō)大家也知道！
另外，這里是考慮了支持ＨＴＭＬ的情況，所以沒有直接過慮尖括號(hào)！

您可能感興趣的文章: