表单xss过滤器_xss过滤哪些字符

文章目录：

• 1、如何关闭跨站点脚本 (XSS) 筛选器
• 2、浏览器的Xss过滤器机制是什么，为什么有些反射型Xss不会触发过滤器
• 3、在input的标签里怎么绕过xss双引号的编码过滤
• 4、asp网站如何防止XSS攻击
• 5、关于xss过滤器form提交带附件问题？

如何关闭跨站点脚本 (XSS) 筛选器

这个错误是由于 IE8 的跨站脚本(Cross-site scripting, XSS)防护阻止了跨站发送的请求。

点击 IE8 的“工具”-“Internet 选项”，进入“安全”选项卡，打开“Internet”下方的“自定义级别”，在“安全设置”对话框中找到“启用 XSS 筛选器”，改为“禁用”即可。

浏览器的Xss过滤器机制是什么，为什么有些反射型Xss不会触发过滤器

首先要说明的是 它是webkit的一个模块,而非chrome ,所以Safari和360安全浏览器极速模式等webkit内核的浏览器都有XSS过滤功能.

过滤方式：

通过模糊匹配 输入参数(GET query| POST form data| Location fragment ) 与 dom树,如果匹配中的数据中包含跨站脚本则不在输出到上下文DOM树中.另外,匹配的规则跟CSP没有什么关系,最多是有参考,CSP这种规范类的东西更新速度太慢跟不上现实问题的步伐.

关闭模式：

因为它有可能影响到业务,所以浏览器提供了关闭它的HTTP响应头.

X-XSS-Protection: 0

绕过方式：

因为专门做这方面的原因所以对绕过也有所了解,目前我发布过的一个bypass 0day还可以继续使用.

svgscript xlink:href=data:,alert(1)/script/svg

在input的标签里怎么绕过xss双引号的编码过滤

哥们，要是让你绕过去了，黑客也就绕过去了。不要想着从前台骗过过滤器，如果系统设置非常严格，所有从前台设置的输入信息都会被xss过滤器过滤，一般是把特殊字符删除或者转译(比如大于号小于号双引号斜杠等)，避免用户通过非法手段存储注入代码，但是一般的web系统，都不会在显示的时候重新转码，所以，如果你可以直接访问数据库，则可以讲特殊字符的代码直接写到数据库里，页面就会直接显示了。

asp网站如何防止XSS攻击

asp中防止xss攻击的方法如下：

确保所有输出内容都经过 HTML 编码。

禁止用户提供的文本进入任何 HTML 元素属性字符串。

根据 msdn.microsoft.com/library/3yekbd5b 中的概述，检查 Request.Browser，以阻止应用程序使用 Internet Explorer 6。

了解控件的行为以及其输出是否经过 HTML 编码。如果未经过 HTML 编码，则对进入控件的数据进行编码。

使用 Microsoft 防跨站点脚本库 (AntiXSS) 并将其设置为您的默认 HTML 编码器。

在将 HTML 数据保存到数据库之前，使用 AntiXSS Sanitizer 对象（该库是一个单独的下载文件，将在下文中介绍）调用 GetSafeHtml 或 GetSafeHtmlFragment；不要在保存数据之前对数据进行编码。

对于 Web 窗体，不要在网页中设置 EnableRequestValidation=false。遗憾的是，Web 上的大多数用户组文章都建议在出现错误时禁用该设置。该设置的存在是有原因的，例如，如果向服务器发送回“X”之类的字符组合，该设置将阻止请求。如果您的控件将 HTML 发送回服务器并收到图 5 所示的错误，那么理想情况下，您应该在将数据发布到服务器之前对数据进行编码。这是 WYSIWYG 控件的常见情形，现今的大多数版本都会在将其 HTML 数据发布回服务器之前对该数据进行正确编码。

对于 ASP.NET MVC 3 应用程序，当您需要将 HTML 发布回模型时，不要使用 ValidateInput(false) 来关闭请求验证。只需向模型属性中添加 [AllowHtml] 即可，如下所示：

public class BlogEntry

{

public int UserId {get;set;}

[AllowHtml]

public string BlogText {get;set;}

}

关于xss过滤器form提交带附件问题？

是不是XSS防御

如果是XSS防御 ，我百度搜索了几条;

解决提交表单时Xss攻击的问题