asp.net – 如何使用AntiXss Library正确清理内容?

前端之家收集整理的这篇文章主要介绍了asp.net – 如何使用AntiXss Library正确清理内容?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个简单的论坛应用程序,当有人发布任何内容时,我这样做:
post.Content = Sanitizer.GetSafeHtml(post.Content);

现在,我不确定我做错了什么,或者发生了什么,但它几乎不允许任何HTML.即使是简单的< b>< / b>太过分了.所以我想这个工具完全没用.@H_404_5@

现在我的问题是:任何人都可以告诉我应该如何消毒我的用户输入,以便他们可以发布一些图像(< img>标签)并使用大胆的重点等?@H_404_5@

解决方法

似乎许多人找到了消毒杀菌剂 rather useless.而不是使用消毒剂,只需编码所有东西,然后解码安全部件:
private static readonly Tuple<string,string>[] WhiteList = (new string[]
    {
        "<b>","</b>","<i>","</i>"
    })
    .Select(tag => Tuple.Create(AntiXss.Encoder.HtmlEncode(tag),tag))
    .ToArray();

public static string Sanitize(string html)
{
    var safeHtml = new StringBuilder(AntiXss.Encoder.HtmlEncode(html));

    for (int index = 0; index < WhiteList.Length; index++)
    {
        string encodedTag = WhiteList[index].Item1;
        string decodedTag = WhiteList[index].Item2;
        safeHtml.Replace(encodedTag,decodedTag);
    }

    return safeHtml.ToString();
}

请注意,安全解码IMG标记几乎是不可能的,因为攻击者可以通过简单的方法滥用此标记.例子:@H_404_5@

<IMG SRC="javascript:alert('XSS');">

<IMG SRC=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#39;&#88;&#83;&#83;&#39;&#41;>

看看这里更全面的XSS Cheat Sheet@H_404_5@

猜你在找的asp.Net相关文章