我有一个简单的论坛应用程序,当有人发布任何内容时,我这样做:
post.Content = Sanitizer.GetSafeHtml(post.Content);
现在,我不确定我做错了什么,或者发生了什么,但它几乎不允许任何HTML.即使是简单的< b>< / b>太过分了.所以我想这个工具完全没用.@H_404_5@
现在我的问题是:任何人都可以告诉我应该如何消毒我的用户输入,以便他们可以发布一些图像(< img>标签)并使用大胆的重点等?@H_404_5@
解决方法
似乎许多人找到了消毒杀菌剂
rather useless.而不是使用消毒剂,只需编码所有东西,然后解码安全部件:
private static readonly Tuple<string,string>[] WhiteList = (new string[] { "<b>","</b>","<i>","</i>" }) .Select(tag => Tuple.Create(AntiXss.Encoder.HtmlEncode(tag),tag)) .ToArray(); public static string Sanitize(string html) { var safeHtml = new StringBuilder(AntiXss.Encoder.HtmlEncode(html)); for (int index = 0; index < WhiteList.Length; index++) { string encodedTag = WhiteList[index].Item1; string decodedTag = WhiteList[index].Item2; safeHtml.Replace(encodedTag,decodedTag); } return safeHtml.ToString(); }
请注意,安全解码IMG标记几乎是不可能的,因为攻击者可以通过简单的方法滥用此标记.例子:@H_404_5@
<IMG SRC="javascript:alert('XSS');"> <IMG SRC=javascript:alert('XSS')>
看看这里更全面的XSS Cheat Sheet@H_404_5@