如何在留言板屏蔽危险字符

wolf1947 2012-07-09 09:05:51
目前,我们网站那里有个留言板,如何将用户输入的危险字符,转换下!请教高手!我们网站是ASP.NET开发的!
...全文
234 12 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
12 条回复
切换为时间正序
请发表友善的回复…
发表回复
voiceofme 2012-07-10
  • 打赏
  • 举报
 回复
1.网站最好有一定审核功能。
2.匹配字典,参考百度贴吧。
zhangdaowu5 2012-07-09
  • 打赏
  • 举报
 回复
js+正则
yangxxxxxx66 2012-07-09
  • 打赏
  • 举报
 回复
你说的危险字符是不是脚本攻击?
类似:<script></script>?
可用下面的正则将其去除
Regex.Replace(str, "<script[^>]*?>.*?</script>", "");
HIpity 2012-07-09
  • 打赏
  • 举报
 回复 




/// <summary> 

    ///这个方法确保用户的输入不是恶毒的 

    /// </summary> 

    /// <param name="text">输入字符串</param> 

    /// <param name="maxLength">最大长度</param> 

    /// <returns>转换后的字符串</returns> 

    public static string InputText(string text, int maxLength)

    {

        text = text.Trim();

        if (string.IsNullOrEmpty(text))

            return string.Empty;

        if (text.Length > maxLength)

            text = text.Substring(0, maxLength);

        text = Regex.Replace(text, "[\\s]{2,}", " "); //two or more spaces 

        text = Regex.Replace(text, "(<[b|B][r|R]/*>)+|(<[p|P](.|\\n)*?>)", "\n"); //<br> 

        text = Regex.Replace(text, "(\\s*&[n|N][b|B][s|S][p|P];\\s*)+", " "); // 

        text = Regex.Replace(text, "<(.|\\n)*?>", string.Empty); //any other tags 

        text = text.Replace("'", "''");

        return text;

    }
liangweiqing00 2012-07-09
  • 打赏
  • 举报
 回复
replace
宝_爸 2012-07-09
  • 打赏
  • 举报
 回复
什么危险字符,如果是防止XSS (Cross Site Scripting)的话,可以使用Microsoft Anti-Cross Site Scripting Library V4.2:

http://www.microsoft.com/en-us/download/details.aspx?id=28589

使用方法参考(例子使用的版本比较老,不过使用方式应该差不多。):
Microsoft Anti-Cross Site Scripting Library V1.5: Protecting the Contoso Bookmark Page
http://msdn.microsoft.com/en-us/library/aa973813.aspx
wolf1947 2012-07-09
  • 打赏
  • 举报
 回复
能贴出相关的代码吗?
mizuho_2006 2012-07-09
  • 打赏
  • 举报
 回复
str.replace("危险字符","XXX")
q107770540 2012-07-09
  • 打赏
  • 举报
 回复
1。 采用HTML编码保存,显示时再解码
2。 用字典保存要替换的危险字符,保存/显示前做字符替换处理
huayy 2012-07-09
  • 打赏
  • 举报
 回复
你的意思是留言板内容是马上公开的?
那参数化后,再将<转换成<>转换成>基本就可以了!
callmesai 2012-07-09
  • 打赏
  • 举报
 回复
[Quote=引用 9 楼 的回复:]
参数化提交是王道!
[/Quote]

参数化提交只是在sql注入方面有用

xss现在还不能做到100%防御吧 只能过滤掉大部分有害字符 增加被入侵难度
huayy 2012-07-09
  • 打赏
  • 举报
 回复
参数化提交是王道!
XSS的基础知识
这些地区可能是博客评论,用户评论,留言板,聊天室,HTML 电子邮件,wikis,和其他的许多地方。一旦用户访问受感染的页,执行是自动的。 漏洞成因: 存储型XSS漏洞的成因与反射型的根源类似,不同的是恶意代码会被...
实例讲解SQL注入攻击
摘要:“SQL注入”是一种利用未过滤/未审核用户输入的攻击方法...如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。 一位客户让我们针对只有他们企业员工和顾客能使用的企业
PHP如何有效防范跨站脚本攻击(XSS)?
存储型XSS则是指攻击者将恶意脚本存储到服务器上,例如留言板、评论系统等用户可编辑的内容中,当其他用户访问这些页面时,恶意脚本会被执行。跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全...
top10之XSS(详尽版)~原理、类型、绕过方法
二、XSS产生的原因 是由于web应用程序对用户的输入和输出过滤不足产生的,导致脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危险。 三、常用的XSS攻击手段和目的 盗用cookie,获取敏感信息。 利用...
斯坦福 CS106A/B/L/X 编程入门笔记(十四)
好的,我们开始吧。那么,今天的计划是,我们将完成对输入输出流的讨论,然,后我们会先做简单的 I-O,再讨论现代 C++ 类型。...然后我们可以利用字符串流的功能在字符串类型和我们想,要的其他类型之间进行转换。
.NET社区

62,243

社区成员

668,998

社区内容

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章