富文本编辑器在允许用户输入丰富内容的同时,也带来了跨站脚本攻击(XSS)的风险。过滤提交的 HTML 中的 <script> 脚本是防止跨站脚本攻击(XSS)的关键步骤。在 .NET C# 服务端过滤 <script> 脚本主要有以下几种方法:
1. 使用 HTML Agility Pack 库
HTML Agility Pack 是一个强大的 .NET 库,用于解析和操作 HTML 文档。您可以使用它来遍历 HTML 节点,并删除或转义 <script> 标签。
using HtmlAgilityPack;
public static string SanitizeHtml(string html)
{
var doc = new HtmlDocument();
doc.LoadHtml(html);
// 删除 <script> 标签
var scriptNodes = doc.DocumentNode.SelectNodes("//script");
if (scriptNodes != null)
{
foreach (var scriptNode in scriptNodes)
{
scriptNode.Remove();
}
}
// 转义危险属性(例如:onclick、onerror)
var nodesWithAttributes = doc.DocumentNode.SelectNodes("//*[@onclick or @onerror]");
if (nodesWithAttributes != null)
{
foreach (var node in nodesWithAttributes)
{
if (node.Attributes["onclick"] != null) node.Attributes["onclick"].Value = "";
if (node.Attributes["onerror"] != null) node.Attributes["onerror"].Value = "";
}
}
return doc.DocumentNode.OuterHtml;
}2. 使用 AntiXss HtmlSanitizer 库
AntiXss 库由 Microsoft 开发,专门用于防止 XSS 攻击。它提供了一系列编码器和清理器,可以帮助您安全地处理 HTML 内容。
using Microsoft.Security.Application;
public static string SanitizeHtml(string html)
{
return Sanitizer.GetSafeHtmlFragment(html);
}目前 AntiXss 库已经过时,.NET项目建议使用 HtmlSanitizer 库。HtmlSanitizer 库用法示例:
using Ganss.XSS;
public static string SanitizeHtml(string html)
{
var sanitizer = new HtmlSanitizer();
return sanitizer.Sanitize(html);
}3. 使用白名单机制
白名单机制是最安全的方法。您可以定义一个允许的 HTML 标签和属性列表,并移除或转义所有其他标签和属性。
using HtmlAgilityPack;
using System.Collections.Generic;
public static string SanitizeHtml(string html)
{
var doc = new HtmlDocument();
doc.LoadHtml(html);
var allowedTags = new HashSet<string> { "p", "b", "i", "u", "a", "img", "br" };
var allowedAttributes = new HashSet<string> { "href", "src", "alt", "title" };
RemoveUnallowedNodes(doc.DocumentNode, allowedTags, allowedAttributes);
return doc.DocumentNode.OuterHtml;
}
private static void RemoveUnallowedNodes(HtmlNode node, HashSet<string> allowedTags, HashSet<string> allowedAttributes)
{
for (int i = node.ChildNodes.Count - 1; i >= 0; i--)
{
var childNode = node.ChildNodes[i];
if (childNode.NodeType == HtmlNodeType.Element)
{
if (!allowedTags.Contains(childNode.Name))
{
childNode.Remove();
}
else
{
// 移除不允许的属性
for (int j = childNode.Attributes.Count - 1; j >= 0; j--)
{
var attribute = childNode.Attributes[j];
if (!allowedAttributes.Contains(attribute.Name))
{
childNode.Attributes.Remove(attribute);
}
}
RemoveUnallowedNodes(childNode, allowedTags, allowedAttributes);
}
}
}
}4. 使用正则表达式(不推荐)
您可以使用正则表达式来移除 <script> 标签。但是,正则表达式容易被绕过,并且难以处理复杂的 HTML 结构。
using System.Text.RegularExpressions;
public static string SanitizeHtml(string html)
{
return Regex.Replace(html, "<script.*?</script>", "", RegexOptions.Singleline | RegexOptions.IgnoreCase);
}安全建议
服务端验证:始终在服务端进行 HTML 清理。 白名单机制:尽可能使用白名单机制。 使用成熟的库:利用成熟的库(如 HTML Agility Pack 或 AntiXss),来处理 HTML 清理。 内容安全策略 (CSP):CSP 是一个强大的安全工具,可以有效防止 XSS 攻击。 最小权限原则:只授予用户必要的 HTML 编辑权限。 内容审核:对用户提交的 HTML 内容进行人工审核,特别是来自不受信任用户的输入。
3
为您推荐
.NET 10(搭配 C# 14)正式上线,带来一批令人惊喜的语法糖改进,让日常开发变得更加简洁、高效。无论你是编写企业级系统、构建性能敏感型组件,还是编写一次性脚本,这些新语法糖都能让你的代码更具可读性、减少..
在日常工作中,将 PDF 文件高质量地转换为 Word 文档已成为许多企业和办公人员的常见需求,尤其是在文档归档、编辑流程自动化和办公系统集成等场景中尤为重要。对于使用 .NET 平台,特别是 C# 的开发者来说,选择一..
随着 .NET Core 的发展,传统的 System.Drawing 库因其对 Windows 的依赖性和在跨平台应用中的限制,逐渐被其他图像处理库所取代。在众多替代方案中,Magick.NET 和 SkiaSharp 是最受欢迎的两个选择。本文将从多个维..
什么是 Magick.NET?Magick.NET 是 ImageMagick 的 .NET 封装库,允许开发者在 C# 等 .NET 语言中调用 ImageMagick 强大的图像处理功能。它支持多种图像格式(如 JPEG、PNG、GIF、TIFF、WebP 等),并提供了丰富的图..
在Windows应用程序开发中,图标(.ico)文件是不可或缺的一部分。本文将介绍如何使用.NET C#将常见的图片格式(如PNG、JPG、BMP)转换为.ico文件,并提供多种实现方式,包括使用System.Drawing、Magick.NET库的方法..
在程序语言中,数据类型是基础,一切程序都是建立在基础数据之上。如果说程序如同万丈高楼平地起,那么数据类型就像沙、石、钢筋、水泥等等最基础的原料。一样的高楼,不同的人,用相同的原料,造的方法也会有千般变..
今天给大家分享一款基于 .NET 开源、免费的适用于 Windows 下 PC 版微信/QQ/TIM的防撤回补丁(我已经看到了,撤回也没用了),通用的微信多开工具:RevokeMsgPatcher。RevokeMsgPatcher GitHub地址:https://github...
在现代Web开发中,提供图片上传的预览功能以及获取图片的尺寸和大小信息,已成为提升用户体验的重要手段。本文将详细介绍如何使用JavaScript实现这些功能,帮助你在用户上传图片前进行有效的验证和优化。一、实现图..
RabbitMQ 作为一款广受欢迎的消息队列中间件,近年来从 3.x 版本升级到 4.0+,带来了显著的功能增强和架构调整。与此同时,其官方 C# 客户端也从 6.x 版本跃升至 7.0,引入了全新的编程模型和性能优化。这些变化不仅..
数组可以算是程序里面最常用的数据结构了,但凡网页上任何一个列表数据,基本都是以数组的形式存在,像表格、banner图、菜单列表、商品列表,分类列表等等,在前端领域都是以数组处理。数组的定义JS 的数组花样很多..
JavaScript 默认是非严格模式的,可以通过 "use strict"; 启用严格模式。此声明语句可以放在 JS 文件顶部,也可以放在函数内部。启用严格模式1、外部脚本在 JS 文件开头声明,内部脚本在 <script> 标签开头声明,声..
Paylinks 是一套基于现代 .NET 开发的,支持跨平台、多商户的第三方支付SDK。该项目旨在简化开发者接入第三方支付平台的过程,特别是针对支付宝和微信支付,便于快速集成支付功能。Paylinks 提供了丰富的配置选项和..
任何一门编程语言,在学习之前都应该先弄清楚它的调试方法,毕竟没有不挖坑的人类!程序一旦出现问题,第一时间就是找到问题出在哪儿,其次才是拿出解决办法。如果都找不到问题原因,那又何从谈起解决办法呢?如何排..
随着向量数据库在 AI、搜索、推荐系统等领域的广泛应用,越来越多的开发者开始将 Qdrant 集成到自己的项目中。对于 .NET 开发者而言,使用 Qdrant.Client 实现与 Qdrant 的高效连接和数据操作,是构建语义搜索和嵌入..
截至目前,您应该对前端的 HTML + CSS 应该有了很清楚的认知,至少实现一个静态网页已经完全不在话下了。当然,CSS 功能绝不止这些,一些不太常用的 CSS 相关知识,后续将通过案例进行分享。那么咱们接下来看看 Java..
Entity Framework Core(EF Core)作为 .NET 平台的主流对象关系映射(ORM)框架,持续为开发者提供高效、灵活的数据访问解决方案。在最新发布的 EF Core 10 中,微软引入了多项新特性,旨在简化数据库操作,提升..
在现代软件开发中,PDF 文件处理是一个常见且重要的需求。无论是生成报告、填充表单、添加水印,还是进行数字签名,选择一个功能强大的 PDF 库至关重要。iText7 作为一款开源且功能丰富的 PDF 操作库,广泛应用于 C#..
在 .NET 应用中试用HttpClient调用API异常报错“Received an unexpected EOF or 0 bytes from the transport stream,通常表示在进行 HTTPS 通信时,SSL/TLS 握手未能成功完成,导致连接被意外关闭。以下是一..
关于微软将停止在中国运营的报道,微软中国方面已明确表示该信息不实。网传邮件截图显示,“由于地缘政治及国际业务环境的变化,微软将调整其全球战略布局,并将于2025年4月8日起正式停止在中国区的运营”..
EasyCaching 项目简介EasyCaching 是一个开源的 .NET 缓存抽象库,由 DotNetCore 团队开发,旨在为 .NET 应用提供简单、统一、强大且可扩展的缓存解决方案。它支持内存缓存(In-Memory)、Redis、Memcached、LiteDB..