富文本编辑器在允许用户输入丰富内容的同时,也带来了跨站脚本攻击(XSS)的风险。过滤提交的 HTML 中的 <script> 脚本是防止跨站脚本攻击(XSS)的关键步骤。在 .NET C# 服务端过滤 <script> 脚本主要有以下几种方法:
1. 使用 HTML Agility Pack 库
HTML Agility Pack 是一个强大的 .NET 库,用于解析和操作 HTML 文档。您可以使用它来遍历 HTML 节点,并删除或转义 <script> 标签。
using HtmlAgilityPack;
public static string SanitizeHtml(string html)
{
var doc = new HtmlDocument();
doc.LoadHtml(html);
// 删除 <script> 标签
var scriptNodes = doc.DocumentNode.SelectNodes("//script");
if (scriptNodes != null)
{
foreach (var scriptNode in scriptNodes)
{
scriptNode.Remove();
}
}
// 转义危险属性(例如:onclick、onerror)
var nodesWithAttributes = doc.DocumentNode.SelectNodes("//*[@onclick or @onerror]");
if (nodesWithAttributes != null)
{
foreach (var node in nodesWithAttributes)
{
if (node.Attributes["onclick"] != null) node.Attributes["onclick"].Value = "";
if (node.Attributes["onerror"] != null) node.Attributes["onerror"].Value = "";
}
}
return doc.DocumentNode.OuterHtml;
}2. 使用 AntiXss HtmlSanitizer 库
AntiXss 库由 Microsoft 开发,专门用于防止 XSS 攻击。它提供了一系列编码器和清理器,可以帮助您安全地处理 HTML 内容。
using Microsoft.Security.Application;
public static string SanitizeHtml(string html)
{
return Sanitizer.GetSafeHtmlFragment(html);
}目前 AntiXss 库已经过时,.NET项目建议使用 HtmlSanitizer 库。HtmlSanitizer 库用法示例:
using Ganss.XSS;
public static string SanitizeHtml(string html)
{
var sanitizer = new HtmlSanitizer();
return sanitizer.Sanitize(html);
}3. 使用白名单机制
白名单机制是最安全的方法。您可以定义一个允许的 HTML 标签和属性列表,并移除或转义所有其他标签和属性。
using HtmlAgilityPack;
using System.Collections.Generic;
public static string SanitizeHtml(string html)
{
var doc = new HtmlDocument();
doc.LoadHtml(html);
var allowedTags = new HashSet<string> { "p", "b", "i", "u", "a", "img", "br" };
var allowedAttributes = new HashSet<string> { "href", "src", "alt", "title" };
RemoveUnallowedNodes(doc.DocumentNode, allowedTags, allowedAttributes);
return doc.DocumentNode.OuterHtml;
}
private static void RemoveUnallowedNodes(HtmlNode node, HashSet<string> allowedTags, HashSet<string> allowedAttributes)
{
for (int i = node.ChildNodes.Count - 1; i >= 0; i--)
{
var childNode = node.ChildNodes[i];
if (childNode.NodeType == HtmlNodeType.Element)
{
if (!allowedTags.Contains(childNode.Name))
{
childNode.Remove();
}
else
{
// 移除不允许的属性
for (int j = childNode.Attributes.Count - 1; j >= 0; j--)
{
var attribute = childNode.Attributes[j];
if (!allowedAttributes.Contains(attribute.Name))
{
childNode.Attributes.Remove(attribute);
}
}
RemoveUnallowedNodes(childNode, allowedTags, allowedAttributes);
}
}
}
}4. 使用正则表达式(不推荐)
您可以使用正则表达式来移除 <script> 标签。但是,正则表达式容易被绕过,并且难以处理复杂的 HTML 结构。
using System.Text.RegularExpressions;
public static string SanitizeHtml(string html)
{
return Regex.Replace(html, "<script.*?</script>", "", RegexOptions.Singleline | RegexOptions.IgnoreCase);
}安全建议
服务端验证:始终在服务端进行 HTML 清理。 白名单机制:尽可能使用白名单机制。 使用成熟的库:利用成熟的库(如 HTML Agility Pack 或 AntiXss),来处理 HTML 清理。 内容安全策略 (CSP):CSP 是一个强大的安全工具,可以有效防止 XSS 攻击。 最小权限原则:只授予用户必要的 HTML 编辑权限。 内容审核:对用户提交的 HTML 内容进行人工审核,特别是来自不受信任用户的输入。
3
为您推荐
Entity Framework Core(EF Core)作为 .NET 平台的主流对象关系映射(ORM)框架,持续为开发者提供高效、灵活的数据访问解决方案。在最新发布的 EF Core 10 中,微软引入了多项新特性,旨在简化数据库操作,提升..
在现代软件开发中,PDF 文件处理是一个常见且重要的需求。无论是生成报告、填充表单、添加水印,还是进行数字签名,选择一个功能强大的 PDF 库至关重要。iText7 作为一款开源且功能丰富的 PDF 操作库,广泛应用于 C#..
在 .NET 应用中试用HttpClient调用API异常报错“Received an unexpected EOF or 0 bytes from the transport stream,通常表示在进行 HTTPS 通信时,SSL/TLS 握手未能成功完成,导致连接被意外关闭。以下是一..
关于微软将停止在中国运营的报道,微软中国方面已明确表示该信息不实。网传邮件截图显示,“由于地缘政治及国际业务环境的变化,微软将调整其全球战略布局,并将于2025年4月8日起正式停止在中国区的运营”..
EasyCaching 项目简介EasyCaching 是一个开源的 .NET 缓存抽象库,由 DotNetCore 团队开发,旨在为 .NET 应用提供简单、统一、强大且可扩展的缓存解决方案。它支持内存缓存(In-Memory)、Redis、Memcached、LiteDB..
在.NET的依赖注入(Dependency Injection,DI)系统中,一个接口注册两种或多种实现是常见的需求,尤其是在需要根据不同场景或条件选择不同实现时。以下是一些实现方法:1. 使用 IEnumerable<T> 解析所有实现这是最..
在 .NET 开发中,LINQ(Language Integrated Query)为数据查询提供了简洁且强大的语法。然而,传统的 LINQ 在处理大量数据时可能会引发性能瓶颈,主要由于频繁的内存分配和对象创建。为解决这一问题,Cysharp 团队..
在.NET软件开发中,常常需要将一个对象的数据转换并映射到另一个对象上。这种手动映射的过程既繁琐又容易出错,影响开发效率和代码可维护性。为了解决这一问题,AutoMapper应运而生。什么是 AutoMapper?AutoM..
Refit 是一个 .NET C# 库,它简化了与 RESTful API 的交互。Refit 受到 Square 的 Retrofit 库的启发,它将 REST API 转换为实时接口,允许你以声明方式定义 REST API 调用。Refit 的特点1. 声明式 API 定义:Refit ..
System.Text.Json 是 .NET 中用于处理 JSON 数据的强大库。除了基本用法外,它还提供了许多进阶技巧,可以帮助你更高效、更灵活地处理 JSON 数据。以下是一些 System.Text.Json 的进阶使用技巧:1. 自定义序列化和反..
在 .NET Core 中,你可以利用 ML.NET 框架来构建机器学习模型,以预测股票价格走势。以下是一个基本的实现步骤:1. 准备数据:收集并整理股票的历史数据,包括日期、开盘价、最高价、最低价、收盘价和成交量等信..
1. Serilog 简介Serilog 是 .NET 生态中强大且灵活的日志库,支持结构化日志记录,并提供多种日志接收器(Sinks),可以将日志输出到控制台、文件、数据库等不同存储介质。Serilog 适用于控制台应用、ASP.NET Core ..
JavaScript函数可以有默认参数值。通过默认函数参数,你可以初始化带有默认值的正式参数。如果不初始化具有某些值的参数,则该参数的默认值为undefined。请看下列代码:function foo(num1){console.log(num1);}foo()..
前言本篇博文来自一次公司内部的前端分享,从多个方面讨论了在设计接口时遵循的原则,总共包含了七个大块。系卤煮自己总结的一些经验和教训。本篇博文同时也参考了其他一些文章,相关地址会在后面贴出来。很难做到详..
JavaScript 中的数字按照 IEEE 754 的标准,使用 64 位双精度浮点型来表示。其中符号位 S,指数位 E,尾数位M分别占了 1,11,52 位,并且在ES5 规范中指出了指数位E的取值范围是[-1074, 971]。精度问题汇总想用有限..
继承是面向对象编程中又一非常重要的概念,JavaScript支持实现继承,不支持接口继承,实现继承主要依靠原型链来实现的。原型链首先得要明白什么是原型链,在一篇文章看懂proto和prototype的关系及区别中讲得非常详细..
基本概念事件委托,通俗地来讲,就是把一个元素响应事件(click、focus……)的函数委托到另一个元素;一般来讲,会把一个或者一组元素的事件委托到它的父层或者更外层元素上,真正绑定事件的是外层元素,当事件响应..
编程这么多年,要是每次写遍历代码时都用 for 循环,真心感觉对不起 JavaScript 语言~对象遍历为了便于对象遍历的测试,我在下面定义了一个测试对象obj。测试对象// 为 Object 设置三个自定义属性(可枚举)Object.p..
JavaScript开发人员倾向于寻找可用于机器学习模型训练的JavaScript框架。下面是一些机器学习算法,基于这些算法可以使用本文中列出的不同JavaScript框架来模型训练:简单的线性回归多变量线性回归逻辑回归朴素贝叶斯..
以下我们将为大家介绍 JavaScript 保留两位小数的实现方法:四舍五入以下处理结果会四舍五入:var num =2.446242342;num = num.toFixed(2); // 输出结果为 2.45不四舍五入以下处理结果不会四舍五入:第一种,先把小数边..