asp.net core中间件预防防止xss攻击

using System;
using System.Text.Json;
using System.Text.Json.Serialization;

namespace CommonUtils
{
    /// 

    /// newtonsoft的转化器
    /// 防止xss攻击
    /// 
    public class AntiXssNewtonsoftConverter : Newtonsoft.Json.JsonConverter<string>
    {
        /// 

        /// 读取的时候
        /// 就是输入的时候进行处理
        /// 
        /// 
        /// 
        /// 
        /// 
        /// 
        /// 
        public override string ReadJson(Newtonsoft.Json.JsonReader reader, Type objectType, string existingValue, bool hasExistingValue, Newtonsoft.Json.JsonSerializer serializer)
        {
            //多次解码无影响，防止输出的时候多次编码导致字符串乱码
            var res = System.Web.HttpUtility.HtmlDecode(reader.Value.ToString());
            //进行编码
            res = System.Web.HttpUtility.HtmlEncode(res);
            return res;
        }

        /// 

        /// 写出的时候
        /// 也可以在写出的时候进行，这里演示的写入的时候，到时候反过来就行了
        /// 
        /// 
        /// 
        /// 
        public override void WriteJson(Newtonsoft.Json.JsonWriter writer, string value, Newtonsoft.Json.JsonSerializer serializer)
        {
            writer.WriteValue(value);
        }
        /*
        全局使用
       services.AddControllers()
       .AddNewtonsoftJson(options=>
       {
           options.SerializerSettings.Converters.Add(new AntiXssSystemTextConverter());
       });
       某个属性使用
       [JsonConverter(typeof(AntiXssNewtonsoftConverter))]
       public string? Id { get; set; }
        */
    }

    /// 

    /// system.text.json转化器
    /// 原理同newtonsoft，主要是看web项目使用的是那个json序列化工具
    /// 
    public class AntiXssSystemTextConverter : JsonConverter<string>
    {
        /// 

        /// 读取的时候
        /// 
        /// 
        /// 
        /// 
        /// 
        /// 
        public override string Read(ref Utf8JsonReader reader, Type typeToConvert, JsonSerializerOptions options)
        {
            //多次解码无影响，防止输出的时候多次编码导致字符串乱码
            var res = System.Web.HttpUtility.HtmlDecode(reader.GetString());
            //进行编码
            res = System.Web.HttpUtility.HtmlEncode(res);
            return res;
        }

        /// 

        /// 写出的时候
        /// 
        /// 
        /// 
        /// 
        /// 
        public override void Write(Utf8JsonWriter writer, string value, JsonSerializerOptions options)
        {
            writer.WriteStringValue(value);
        }
        /*
         全局使用
        services.AddControllers()
        .AddJsonOptions(options=>
        {
            options.JsonSerializerOptions.Converters.Add(new AntiXssSystemTextConverter());
        });
        某个属性使用
        [JsonConverter(typeof(AntiXssSystemTextConverter))]
        public string? Id { get; set; }
         */
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103

上面实现思路是针对json序列化后的string字符串进行编码防止xss攻击
其他实现比如中间件、Action的AOP方法也是可以的，可以自己实现

主要是看web项目使用的是那个json序列化工具newtonsoft就用newtonsoft，system.text.json就用下面的那个