asp.net – 如何使用AntiXss Library正确清理内容?
发布时间:2020-09-01 08:44:37 所属栏目:asp.Net 来源:互联网
导读:我有一个简单的论坛应用程序,当有人发布任何内容时,我这样做: post.Content = Sanitizer.GetSafeHtml(post.Content); 现在,我不确定我做错了什么,或者发生了什么,但它几乎不允许任何HTML.即使是简单的 b / b太过分了.所以我想这个工具完全没用. 现在我的问题
|
我有一个简单的论坛应用程序,当有人发布任何内容时,我这样做: post.Content = Sanitizer.GetSafeHtml(post.Content); 现在,我不确定我做错了什么,或者发生了什么,但它几乎不允许任何HTML.即使是简单的< b>< / b>太过分了.所以我想这个工具完全没用. 现在我的问题是:任何人都可以告诉我应该如何消毒我的用户输入,以便他们可以发布一些图像(< img>标签)并使用大胆的重点等? 解决方法似乎许多人找到了消毒杀菌剂 rather useless.而不是使用消毒剂,只需编码所有东西,然后解码安全部件:private static readonly Tuple<string,string>[] WhiteList = (new string[]
{
"<b>","</b>","<i>","</i>"
})
.Select(tag => Tuple.Create(AntiXss.Encoder.HtmlEncode(tag),tag))
.ToArray();
public static string Sanitize(string html)
{
var safeHtml = new StringBuilder(AntiXss.Encoder.HtmlEncode(html));
for (int index = 0; index < WhiteList.Length; index++)
{
string encodedTag = WhiteList[index].Item1;
string decodedTag = WhiteList[index].Item2;
safeHtml.Replace(encodedTag,decodedTag);
}
return safeHtml.ToString();
}
请注意,安全解码IMG标记几乎是不可能的,因为攻击者可以通过简单的方法滥用此标记.例子: <IMG SRC="javascript:alert('XSS');">
<IMG SRC=javascript:alert('XSS')>
看看这里更全面的XSS Cheat Sheet (编辑:台州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net Web.config 详细配置说明
- asp.net – 错误:数据绑定方法(如Eval(),XPath()和Bind()只
- ASP.NET批量下载文件的方法
- asp.net-mvc-3 – 使用@ Html.Raw有风险吗?
- asp.net-mvc – 如何使用带有IEnumerable的Html.CheckBox(l
- asp.net-mvc-3 – MVC 3 $.ajax – 响应似乎是从部分视图缓
- asp.net – CalendarExtender定位问题
- asp.net-mvc-3 – 在MVC3中使用Html.LabelFor的表单标签中的
- asp.net – 使用SignalR编译项目时,我必须做一个iisreset
- asp.net – 如何序列化LINQ-to-SQL惰性列表
推荐文章
站长推荐
- asp.net – 如何从复选框列表中获取最新的选定值
- asp.net-ajax – Ajax脚本管理器和母版页
- 这是一个bug?浮动操作被视为整数
- asp.net-mvc – 从页面到局部视图的asp.net mvc参
- .net – Viewstate隐藏字段如此之大,一切都会崩溃
- asp.net-mvc – ASP.NET MVC WebSite中的ERR_EMP
- asp.net – 如何在C#2.0中的Web.config中加密用户
- asp.net – coldfusion和.net上的单点登录
- asp.net-mvc – 带vNext的MVC 6:我们还需要Glob
- asp.net-mvc – DDD原理和ASP.NET MVC项目设计
热点阅读
