那些遇到过的问题

正则表达式检测Javascript在字符串中

w4y*_*ymo 1 javascript c# regex xss

我试图在我的查询字符串值中检测JavaScript.

我有以下c#代码

    private bool checkForXSS(string value) 
    {
        Regex regex = new Regex(@"/((\%3C)|<)[^\n]+((\%3E)|>)/I"); 

        if (regex.Match(value).Success) return true; 

        return false; 
    }
Run Code Online (Sandbox Code Playgroud)

这适用于检测<script></script>标签,但遗憾的是,如果没有标签,则未达到匹配.

正则表达式是否可以匹配JavaScript关键字和分号等?

这并不意味着涵盖所有XSS攻击基础.只是一种检测可以在字符串值中的简单JS攻击的方法.

谢谢

Rod*_*igo 9

Nº1规则:使用白名单,而不是黑名单.

您正在阻止一种方法来执行XSS,而不是任何方式.要实现这一点,您必须根据用户输入接受的内容验证输入,即

  • 如果您期望一个数字,请验证输入 /^\d{1, n}$/
  • 如果你期望一个字符串,验证它/^[\s\w\.\,]+$/等等...

有关详细信息,请阅读维基百科条目,OWASP条目,webappsec文章以及由未知人员撰写的一些随机博客条目

归档时间:

查看次数:

2917 次

最近记录:

7 年,4 月 前
相关归档
什么是事件冒泡和捕获? 982
按多列分组 919
在C#中,public,private,protected和没有访问修饰符有什么区别? 701
在JavaScript中格式化一个正好两位小数的数字 557
vue.js有条件地禁用输入 227
如何在asp按钮上禁用回发 133
在"k + = c + = k + = c;"中是否有对内联运算符的解释? 88
带有UDP的JavaScript WebSockets? 69
正则表达式允许使用字母数字, - ,_和空格 29
javascript - 更好的方法来逃避String.prototype.replace使用的字符串中的美元符号 9
难疑归档
如何从JavaScript对象中删除属性? 5813
在JavaScript中创建GUID/UUID? 3915
如何在Java中读取/转换InputStream为String? 3864
JavaScript切断/切片/修剪字符串中的最后一个字符 1840
在C#中调用基础构造函数 1398
如何在find中排除目录.命令 1250
UnicodeEncodeError:'ascii'编解码器无法对位置20中的字符u'\ xa0'进行编码:序数不在范围内(128) 1222
npm在没有sudo的情况下抛出错误 1218
如何获得最近提交的Git分支列表? 1197
如何撤消git reset --hard HEAD~1? 1083