using System;
using System.Text.Json;
using System.Text.Json.Serialization;
namespace CommonUtils
{
/// <summary>
/// newtonsoft的转化器
/// 防止xss攻击
/// </summary>
public class AntiXssNewtonsoftConverter : Newtonsoft.Json.JsonConverter<string>
{
/// <summary>
/// 读取的时候
/// 就是输入的时候进行处理
/// </summary>
/// <param name="reader"></param>
/// <param name="objectType"></param>
/// <param name="existingValue"></param>
/// <param name="hasExistingValue"></param>
/// <param name="serializer"></param>
/// <returns></returns>
public override string ReadJson(Newtonsoft.Json.JsonReader reader, Type objectType, string existingValue, bool hasExistingValue, Newtonsoft.Json.JsonSerializer serializer)
{
//多次解码无影响,防止输出的时候多次编码导致字符串乱码
var res = System.Web.HttpUtility.HtmlDecode(reader.Value.ToString());
//进行编码
res = System.Web.HttpUtility.HtmlEncode(res);
return res;
}
/// <summary>
/// 写出的时候
/// 也可以在写出的时候进行,这里演示的写入的时候,到时候反过来就行了
/// </summary>
/// <param name="writer"></param>
/// <param name="value"></param>
/// <param name="serializer"></param>
public override void WriteJson(Newtonsoft.Json.JsonWriter writer, string value, Newtonsoft.Json.JsonSerializer serializer)
{
writer.WriteValue(value);
}
/*
全局使用
services.AddControllers()
.AddNewtonsoftJson(options=>
{
options.SerializerSettings.Converters.Add(new AntiXssSystemTextConverter());
});
某个属性使用
[JsonConverter(typeof(AntiXssNewtonsoftConverter))]
public string? Id { get; set; }
*/
}
/// <summary>
/// system.text.json转化器
/// 原理同newtonsoft,主要是看web项目使用的是那个json序列化工具
/// </summary>
public class AntiXssSystemTextConverter : JsonConverter<string>
{
/// <summary>
/// 读取的时候
/// </summary>
/// <param name="reader"></param>
/// <param name="typeToConvert"></param>
/// <param name="options"></param>
/// <returns></returns>
/// <exception cref="NotImplementedException"></exception>
public override string Read(ref Utf8JsonReader reader, Type typeToConvert, JsonSerializerOptions options)
{
//多次解码无影响,防止输出的时候多次编码导致字符串乱码
var res = System.Web.HttpUtility.HtmlDecode(reader.GetString());
//进行编码
res = System.Web.HttpUtility.HtmlEncode(res);
return res;
}
/// <summary>
/// 写出的时候
/// </summary>
/// <param name="writer"></param>
/// <param name="value"></param>
/// <param name="options"></param>
/// <exception cref="NotImplementedException"></exception>
public override void Write(Utf8JsonWriter writer, string value, JsonSerializerOptions options)
{
writer.WriteStringValue(value);
}
/*
全局使用
services.AddControllers()
.AddJsonOptions(options=>
{
options.JsonSerializerOptions.Converters.Add(new AntiXssSystemTextConverter());
});
某个属性使用
[JsonConverter(typeof(AntiXssSystemTextConverter))]
public string? Id { get; set; }
*/
}
}
上面实现思路是针对json序列化后的string字符串进行编码防止xss攻击
其他实现比如中间件、Action的AOP方法也是可以的,可以自己实现文章来源:https://www.toymoban.com/news/detail-727071.html
主要是看web项目使用的是那个json序列化工具newtonsoft就用newtonsoft,system.text.json就用下面的那个文章来源地址https://www.toymoban.com/news/detail-727071.html
到了这里,关于asp.net core中间件预防防止xss攻击的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
