富文本编辑器在允许用户输入丰富内容的同时,也带来了跨站脚本攻击(XSS)的风险。过滤提交的 HTML 中的 <script> 脚本是防止跨站脚本攻击(XSS)的关键步骤。在 .NET C# 服务端过滤 <script> 脚本主要有以下几种方法:
1. 使用 HTML Agility Pack 库
HTML Agility Pack 是一个强大的 .NET 库,用于解析和操作 HTML 文档。您可以使用它来遍历 HTML 节点,并删除或转义 <script> 标签。
using HtmlAgilityPack;
public static string SanitizeHtml(string html)
{
var doc = new HtmlDocument();
doc.LoadHtml(html);
// 删除 <script> 标签
var scriptNodes = doc.DocumentNode.SelectNodes("//script");
if (scriptNodes != null)
{
foreach (var scriptNode in scriptNodes)
{
scriptNode.Remove();
}
}
// 转义危险属性(例如:onclick、onerror)
var nodesWithAttributes = doc.DocumentNode.SelectNodes("//*[@onclick or @onerror]");
if (nodesWithAttributes != null)
{
foreach (var node in nodesWithAttributes)
{
if (node.Attributes["onclick"] != null) node.Attributes["onclick"].Value = "";
if (node.Attributes["onerror"] != null) node.Attributes["onerror"].Value = "";
}
}
return doc.DocumentNode.OuterHtml;
}2. 使用 AntiXss HtmlSanitizer 库
AntiXss 库由 Microsoft 开发,专门用于防止 XSS 攻击。它提供了一系列编码器和清理器,可以帮助您安全地处理 HTML 内容。
using Microsoft.Security.Application;
public static string SanitizeHtml(string html)
{
return Sanitizer.GetSafeHtmlFragment(html);
}目前 AntiXss 库已经过时,.NET项目建议使用 HtmlSanitizer 库。HtmlSanitizer 库用法示例:
using Ganss.XSS;
public static string SanitizeHtml(string html)
{
var sanitizer = new HtmlSanitizer();
return sanitizer.Sanitize(html);
}3. 使用白名单机制
白名单机制是最安全的方法。您可以定义一个允许的 HTML 标签和属性列表,并移除或转义所有其他标签和属性。
using HtmlAgilityPack;
using System.Collections.Generic;
public static string SanitizeHtml(string html)
{
var doc = new HtmlDocument();
doc.LoadHtml(html);
var allowedTags = new HashSet<string> { "p", "b", "i", "u", "a", "img", "br" };
var allowedAttributes = new HashSet<string> { "href", "src", "alt", "title" };
RemoveUnallowedNodes(doc.DocumentNode, allowedTags, allowedAttributes);
return doc.DocumentNode.OuterHtml;
}
private static void RemoveUnallowedNodes(HtmlNode node, HashSet<string> allowedTags, HashSet<string> allowedAttributes)
{
for (int i = node.ChildNodes.Count - 1; i >= 0; i--)
{
var childNode = node.ChildNodes[i];
if (childNode.NodeType == HtmlNodeType.Element)
{
if (!allowedTags.Contains(childNode.Name))
{
childNode.Remove();
}
else
{
// 移除不允许的属性
for (int j = childNode.Attributes.Count - 1; j >= 0; j--)
{
var attribute = childNode.Attributes[j];
if (!allowedAttributes.Contains(attribute.Name))
{
childNode.Attributes.Remove(attribute);
}
}
RemoveUnallowedNodes(childNode, allowedTags, allowedAttributes);
}
}
}
}4. 使用正则表达式(不推荐)
您可以使用正则表达式来移除 <script> 标签。但是,正则表达式容易被绕过,并且难以处理复杂的 HTML 结构。
using System.Text.RegularExpressions;
public static string SanitizeHtml(string html)
{
return Regex.Replace(html, "<script.*?</script>", "", RegexOptions.Singleline | RegexOptions.IgnoreCase);
}安全建议
服务端验证:始终在服务端进行 HTML 清理。 白名单机制:尽可能使用白名单机制。 使用成熟的库:利用成熟的库(如 HTML Agility Pack 或 AntiXss),来处理 HTML 清理。 内容安全策略 (CSP):CSP 是一个强大的安全工具,可以有效防止 XSS 攻击。 最小权限原则:只授予用户必要的 HTML 编辑权限。 内容审核:对用户提交的 HTML 内容进行人工审核,特别是来自不受信任用户的输入。
1
为您推荐
在 .NET 开发中,LINQ(Language Integrated Query)为数据查询提供了简洁且强大的语法。然而,传统的 LINQ 在处理大量数据时可能会引发性能瓶颈,主要由于频繁的内存分配和对象创建。为解决这一问题,Cysharp 团队..
在.NET软件开发中,常常需要将一个对象的数据转换并映射到另一个对象上。这种手动映射的过程既繁琐又容易出错,影响开发效率和代码可维护性。为了解决这一问题,AutoMapper应运而生。什么是 AutoMapper?AutoM..
Refit 是一个 .NET C# 库,它简化了与 RESTful API 的交互。Refit 受到 Square 的 Retrofit 库的启发,它将 REST API 转换为实时接口,允许你以声明方式定义 REST API 调用。Refit 的特点1. 声明式 API 定义:Refit ..
System.Text.Json 是 .NET 中用于处理 JSON 数据的强大库。除了基本用法外,它还提供了许多进阶技巧,可以帮助你更高效、更灵活地处理 JSON 数据。以下是一些 System.Text.Json 的进阶使用技巧:1. 自定义序列化和反..
在 .NET Core 中,你可以利用 ML.NET 框架来构建机器学习模型,以预测股票价格走势。以下是一个基本的实现步骤:1. 准备数据:收集并整理股票的历史数据,包括日期、开盘价、最高价、最低价、收盘价和成交量等信..
1. Serilog 简介Serilog 是 .NET 生态中强大且灵活的日志库,支持结构化日志记录,并提供多种日志接收器(Sinks),可以将日志输出到控制台、文件、数据库等不同存储介质。Serilog 适用于控制台应用、ASP.NET Core ..
JavaScript函数可以有默认参数值。通过默认函数参数,你可以初始化带有默认值的正式参数。如果不初始化具有某些值的参数,则该参数的默认值为undefined。请看下列代码:function foo(num1){console.log(num1);}foo()..
前言本篇博文来自一次公司内部的前端分享,从多个方面讨论了在设计接口时遵循的原则,总共包含了七个大块。系卤煮自己总结的一些经验和教训。本篇博文同时也参考了其他一些文章,相关地址会在后面贴出来。很难做到详..
JavaScript 中的数字按照 IEEE 754 的标准,使用 64 位双精度浮点型来表示。其中符号位 S,指数位 E,尾数位M分别占了 1,11,52 位,并且在ES5 规范中指出了指数位E的取值范围是[-1074, 971]。精度问题汇总想用有限..
继承是面向对象编程中又一非常重要的概念,JavaScript支持实现继承,不支持接口继承,实现继承主要依靠原型链来实现的。原型链首先得要明白什么是原型链,在一篇文章看懂proto和prototype的关系及区别中讲得非常详细..
基本概念事件委托,通俗地来讲,就是把一个元素响应事件(click、focus……)的函数委托到另一个元素;一般来讲,会把一个或者一组元素的事件委托到它的父层或者更外层元素上,真正绑定事件的是外层元素,当事件响应..
编程这么多年,要是每次写遍历代码时都用 for 循环,真心感觉对不起 JavaScript 语言~对象遍历为了便于对象遍历的测试,我在下面定义了一个测试对象obj。测试对象// 为 Object 设置三个自定义属性(可枚举)Object.p..
JavaScript开发人员倾向于寻找可用于机器学习模型训练的JavaScript框架。下面是一些机器学习算法,基于这些算法可以使用本文中列出的不同JavaScript框架来模型训练:简单的线性回归多变量线性回归逻辑回归朴素贝叶斯..
以下我们将为大家介绍 JavaScript 保留两位小数的实现方法:四舍五入以下处理结果会四舍五入:var num =2.446242342;num = num.toFixed(2); // 输出结果为 2.45不四舍五入以下处理结果不会四舍五入:第一种,先把小数边..
JavaScript 实现页面跳转重定向可以使用以下两种方法:window.location.replace("url")类似 HTTP 重定向将地址替换成新 url,该方法通过指定 URL 替换当前缓存在历史里(客户端)的项目,因此当使用 replace 方法之..
avascript 声明变量的时候,虽然用 var 关键字声明和不用关键字声明,很多时候运行并没有问题,但是这两种方式还是有区别的。可以正常运行的代码并不代表是合适的代码。var num = 1;是在当前域中声明变量。如果在方..
其实是一个很简单的东西,认真看十分钟就从一脸懵B 到完全 理解!先看明白下面:例 1obj.objAge; // 17obj.myFun() // 小张年龄 undefined例 2shows() // 盲僧 比较一下这两者 this 的差别,第一个打印里面的 this ..
在这篇文章中,我们将介绍一些用于AJAX调用的最好的JS库,包括jQuery,Axios和Fetch。欢迎查看代码示例!AJAX是用来对服务器进行异步HTTP调用的一系列web开发技术客户端框架。 AJAX即Asynchronous JavaScript and XM..
简评:一开始 JavaScript 只是为网页增添一些实时动画效果,现在 JS 已经能做到前后端通吃了,而且还是年度流行语言。本文分享几则 JS 小窍门,可以让你事半功倍 ~1. 删除数组尾部元素一个简单方法就是改变数组的len..
在 .NET 单元测试中,使用 Moq 来模拟 File.Exists 方法的返回值,可以这样做:1. 使用 Mock<FileSystem>(推荐).NET 提供了 System.IO.Abstractions 库,你可以使用 Mock<IFileSystem> 来替代 File,这样更符合依..