Asp防跨站防护代码（XSS防护）

工作需要，用到了ASP，需要一个防护，百度找了下，测试没问题，分享下
保存为：safe.asp 放网站根目录

1. <%   
   
2. On Error Resume Next  
   
3. if request.querystring<>"" then call stophacker(request.querystring,"'|\b(alert|confirm|prompt)\b|<[^>]*?>|^\+/v(8|9)|\bonmouse(over|move)=\b|\b(and|or)\b.+?(>|<|=|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)")  
   
4. if Request.ServerVariables("HTTP_REFERER")<>"" then call test(Request.ServerVariables("HTTP_REFERER"),"'|\b(and|or)\b.+?(>|<|=|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)")  
   
5. if request.Cookies<>"" then call stophacker(request.Cookies,"\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)")   
   
6. call stophacker(request.Form,"^\+/v(8|9)|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)")  
   
7. 
   
8. function test(values,re)  
   
9.         dim regex  
   
10.         set regex=new regexp  
    
11.         regex.ignorecase = true  
    
12.         regex.global = true  
    
13.         regex.pattern = re  
    
14.         if regex.test(values) then  
    
15.                 Response.Write("<div style='position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;'><br>您的提交带有不合法参数,谢谢合作!<br><br></div>")  
    
16.                 Response.end  
    
17.         end if  
    
18.         set regex = nothing  
    
19. end function   
    
20. 
    
21. 
    
22. function stophacker(values,re)  
    
23.         dim l_get, l_get2,n_get,regex,IP  
    
24.         for each n_get in values  
    
25.                 for each l_get in values  
    
26.                         l_get2 = values(l_get)  
    
27.                         set regex = new regexp  
    
28.                         regex.ignorecase = true  
    
29.                         regex.global = true  
    
30.                         regex.pattern = re  
    
31.                         if regex.test(l_get2) then  
    
32.                                 Response.Write("<div style='position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;'><br>您的提交带有不合法参数,谢谢合作!<br><br></div>")  
    
33.                                 Response.end  
    
34.                         end if  
    
35.                         set regex = nothing  
    
36.                 next  
    
37.         next  
    
38. end function   
    
39. %>

复制代码

用法：

1. <!--#include virtual="/safe.asp"-->

复制代码

以上代码放conn.asp之类的公用文件里面