過濾掉不良的HTML數據在我的剃鬚刀MVC應用程序,我這樣做增加了功能,其中一個模型屬性允許HTML:在剃刀
[AllowHtml]
public string Body { get; set; }
這個偉大的工程。但是我想知道,我想確保用戶不會提交惡意數據,所以有人建立了一個實用程序或庫來過濾JavaScript語句等錯誤的HTML數據?我打算解碼HTML並在用戶界面中顯示,所以很自然我想要有點限制。我知道我必須從代碼手動執行此操作,只是對一些指針或實用程序感到好奇。
謝謝。
絕對!來自微軟的anti-xss庫有一個消毒劑: 它使用起來很簡單,我在本週在pluralsight.com上發佈的「Hack Proofing your ASP.Net Applications」系列視頻中會介紹這一點(還有更多)。 Theres不僅僅是html編碼,如果你使用html,那麼對於用於跨站點腳本的懸而未決的html問題以及不正確地使用可能導致xss的javascript函數的警告也是如此。查看視頻系列(主題比這裏的帖子要長很多)
Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment(yourHtml);
獲取網絡保護庫中的代碼。注意在asp.net 4.5本應包含在System.Web.Security
真棒,謝謝。 – 2012-02-01 18:26:47