我有一個編輯器,可讓用戶添加存儲在數據庫中並呈現在網頁上的HTML。由於這是不可信的輸入,我打算使用Microsoft.Security.Application.AntiXsSS.GetSafeHtmlFragment
來清理HTML。在存儲到數據庫之前或渲染之前對HTML進行消毒處理? (ASP.NET中的AntiXSS庫)
- 我應該在保存到數據庫之前還是在將不可信輸入呈現到網頁之前進行santiize?
- 在我的項目中包含AntiXSS源代碼而不是僅包含DLL是否有優勢? (也許我可以自定義白名單?)
- 哪一類文件,我應該去找實際執行的GetSafeHtmlFragment
我回來並投票支持你因爲我同意你的論點,你的建議與OWASP的建議相符。希望@ user102533會切換並接受你的。 – David 2010-02-26 17:51:05
他沒有存儲編碼數據,他存儲的是消毒數據 - 差別很大(它仍然是未編碼的HTML) – orip 2010-05-05 12:59:08
點2仍然存在(是的,我在閱讀中沒有給予足夠的關注!)如果在消毒劑中存在錯誤怎麼辦?或者你想改變sanitzation規則? – blowdart 2010-05-05 16:28:41