làm sạch JSON cho XSS trước khi deserializing

Question

Tôi đang sử dụng trình gỡ lỗi JSON Newton. Làm thế nào có thể làm sạch JSON cho XSS (cross scripting)? Làm sạch chuỗi JSON trước khi hủy tuần tự hoặc viết một số loại trình chuyển đổi/khử trùng tùy chỉnh? Nếu vậy - tôi không chắc chắn 100% về cách tốt nhất để tiếp cận điều này.

Dưới đây là ví dụ về JSON có tập lệnh nguy hiểm được tiêm và cần "làm sạch". Tôi muốn có một quản lý này trước khi tôi de-serialize nó. Nhưng chúng ta cần phải giả định tất cả các loại kịch bản XSS, bao gồm cả tập lệnh mã hóa BASE64 vv, do đó, vấn đề phức tạp hơn khi một chuỗi REGEX đơn giản thay thế.

{ "MyVar" : "hello<script>bad script code</script>world" } 

Đây là một bản chụp của deserializer tôi (JSON -> Object):

public T Deserialize<T>(string json) 
{ 
    T obj; 

    var JSON = cleanJSON(json); //OPTION 1 sanitize here 

    var customConverter = new JSONSanitizer();// OPTION 2 create a custom converter 

    obj = JsonConvert.DeserializeObject<T>(json, customConverter); 

    return obj; 
} 

JSON được đăng tải từ một giao diện bên UI 3rd, vì vậy nó khá tiếp xúc, vì thế mà xác nhận server-side. Từ đó, nó được tuần tự hóa thành tất cả các loại đối tượng và thường được lưu trữ trong một DB, sau đó được lấy ra và xuất ra trực tiếp trong giao diện người dùng dựa trên HTML do đó việc tiêm script phải được giảm nhẹ.

Answer 1

Ok, tôi sẽ cố gắng để giữ này khá ngắn, bởi vì đây là rất nhiều công việc để viết lên toàn bộ điều. Nhưng, về cơ bản, bạn cần tập trung vào bối cảnh dữ liệu bạn cần để vệ sinh. Từ các nhận xét trên bài đăng gốc, có vẻ như một số giá trị trong JSON sẽ được sử dụng dưới dạng HTML sẽ được hiển thị và HTML này đến từ một nguồn không đáng tin cậy. Bước đầu tiên là trích xuất bất kỳ giá trị JSON nào cần được khử trùng dưới dạng HTML và cho từng đối tượng bạn cần để chạy chúng thông qua trình phân tích cú pháp HTML và loại bỏ mọi thứ không nằm trong danh sách cho phép. Đừng quên rằng bạn cũng sẽ cần một danh sách trắng cho các thuộc tính.

HTML Agility Pack là nơi bắt đầu tốt để phân tích cú pháp HTML trong C#. Làm thế nào để làm điều này một phần là một câu hỏi riêng biệt trong quan điểm của tôi - và có lẽ là một bản sao của câu hỏi được liên kết.

Sự lo lắng của bạn về chuỗi base64 có vẻ hơi nhấn mạnh trong quan điểm của tôi. Nó không giống như bạn có thể chỉ cần đặt aW5zZXJ0IGg0eCBoZXJl vào một tài liệu HTML và trình duyệt sẽ hiển thị nó. Nó có thể bị lạm dụng thông qua javascript (mà danh sách trắng của bạn sẽ ngăn chặn) và, ở một mức độ nào đó, thông qua các url(nhưng điều này không phải là xấu, vì javascript sẽ chạy trong ngữ cảnh của trang dữ liệu. Không tốt, nhưng bạn aren ' t tự động gobbling lên cookie với điều này). Nếu bạn phải cho phép a thẻ, một phần của quá trình cần phải xác thực rằng URL là http (s) (hoặc bất kỳ lược đồ nào bạn muốn cho phép).Lý tưởng nhất là bạn sẽ tránh tình huống khó chịu này, và thay vào đó hãy sử dụng một cái gì đó như markdown - sau đó bạn có thể chỉ cần thoát khỏi chuỗi HTML, nhưng điều này không phải lúc nào cũng có thể kiểm soát được. Tuy nhiên, bạn vẫn phải thực hiện một số xác thực URL.

Answer 2

Thú vị !! Cam ơn vi đa hỏi. chúng tôi thường sử dụng html.urlencode dưới dạng biểu mẫu web. Tôi có một api chạy trên web doanh nghiệp có xác nhận như thế này. Chúng tôi đã tạo một regex tùy chỉnh để xác thực. Vui lòng xem tại đây MSDN link.

Đây là mô hình mẫu được tạo ra để phân tích các yêu cầu đặt tên KeyValue (nói)

public class KeyValue 
{ 
    public string Key { get; set; } 
} 

Bước 1: Đang cố gắng với một regex tùy chỉnh

var json = @"[{ 'MyVar' : 'hello<script>bad script code</script>world' }]"; 

     JArray readArray = JArray.Parse(json); 
     IList<KeyValue> blogPost = readArray.Select(p => new KeyValue { Key = (string)p["MyVar"] }).ToList(); 

     if (!Regex.IsMatch(blogPost.ToString(), 
      @"^[\p{L}\p{Zs}\p{Lu}\p{Ll}\']{1,40}$")) 
      Console.WriteLine("InValid"); 
      //   ^means start looking at this position. 
      //   \p{ ..} matches any character in the named character class specified by {..}. 
      //   {L} performs a left-to-right match. 
      //   {Lu} performs a match of uppercase. 
      //   {Ll} performs a match of lowercase. 
      //   {Zs} matches separator and space. 
      //   'matches apostrophe. 
      //   {1,40} specifies the number of characters: no less than 1 and no more than 40. 
      //   $ means stop looking at this position. 

Bước 2: Sử dụng HttpUtility .UrlEncode - this newtonsoft website link đề xuất triển khai bên dưới.

string json = @"[{ 'MyVar' : 'hello<script>bad script code</script>world' }]"; 

     JArray readArray = JArray.Parse(json); 
     IList<KeyValue> blogPost = readArray.Select(p => new KeyValue {Key =HttpUtility.UrlEncode((string)p["MyVar"])}).ToList();