復制代碼 代碼如下:

public static string StringFilters(string input)
{
if (string.IsNullOrEmpty(input))
return input;
/*跨站攻擊過慮*/
input = input.Replace("&#", "&＃");//過濾&#　攻擊方式javascript:alert('XSS')
input = Regex.Replace(input, @"javascript:", "Jaｖasｃript:", RegexOptions.IgnoreCase);//過濾JS 攻擊方式：javascript:alert('XSS');
input = Regex.Replace(input, @"vbscript:", "Vbscｒiｐt:", RegexOptions.IgnoreCase);//過濾JS 攻擊方式：vbscript:msgbox('XSS');
input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "Vbscｒiｐt:", RegexOptions.IgnoreCase);//攻擊方式：java script:alert('XSS');
input = Regex.Replace(input, @"http:///*[sS]*/*//", "<!-- code -->", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"expression", "ｅxpreｓsiｏn", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"<[/u0020]*style[^>]*>", "S:yle", RegexOptions.IgnoreCase);
input = Regex.Replace(input, @"<[^>]*object[^>]*>", "objec&$58", RegexOptions.IgnoreCase);//攻擊方式 <OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn"></OBJECT> 注意，這樣過濾后將無法使用FLASH
/*各種事件過濾*/
input = Regex.Replace(input, @"<[^>]*[/u0020]+on[A-Za-z]{3,20}[/u0020]*=[/u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);//
input = input.Replace("'", "'");//單引號防止ＳＱＬ注入
input = Regex.Replace(input, @"script", "Script", RegexOptions.IgnoreCase);//防止腳本攻擊
input = Regex.Replace(input, @"frame", "frame", RegexOptions.IgnoreCase);//防止iframe 掛馬
input = Regex.Replace(input, @"form", "form", RegexOptions.IgnoreCase);//禁止表單提交
input = Regex.Replace(input, @"meta", "meta", RegexOptions.IgnoreCase);//防止用使meta跳轉到非法網頁
return input;
}