为了防止 XSS 攻击,我正在更新一个页面,其中有一个接受 HTML 的文本框,将其存储在数据库中,并在稍后检索和呈现它。
我的理解是,我可以使用 AntiXSS.GetSafeHtmlFragment() 方法清理 HTML。只要我在将 HTML 存储到数据库之前执行此操作,就可以了吗?当HTML输出到网页上时,我需要做什么吗?
此外,白名单似乎是一种黑匣子。有没有办法根据我们的要求更新它?
最佳答案
你应该已经准备好了。尽管显然这不会保护您免受数据库中已有任何内容的影响。
您可以在输出页面而不是保存时使用AntiXSS.GetSafeHtmlFragment()。但边存钱边做可能更安全。不过,您不想在渲染和保存时同时执行此操作。
白名单不可编辑。
关于.net - 使用 MS Anti XSS 库清理 HTML,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2031527/