我知道 SO 中出现了很多关于 HTML 清理器的问题,但我不知道它们是否达到了我想要的效果,我有点困惑,因为一些推荐的方法已经有 4 年多了。
我有一个包含 TinyMCE 编辑器的页面。当然,这个编辑器将 HTML 发送到服务器,并期望 HTML,所以我创建了一个带有 String
的实体。属性(property)装饰有[AllowHtml]
属性。效果很好。
现在,我想确保没有人尝试发送 <script>
标签,或 <img onerror="">
,或者任何执行JS的方式,或者添加指向外部url的CSS。
目前最好的解决方案是什么?
WPL有 HtmlSanitizationLibrary,但我如何知道哪些标签被视为“安全”?
WPL 从去年 4 月起就没有发布任何内容,而且它还是测试版。所以我想知道这个项目是否活跃?
干杯。
最佳答案
AntiXss/WPL 现已“停产”。在a reply中找到了这个库其他地方:
HtmlSanitizer,一个 .NET 库,用于清除可能导致 XSS 攻击的结构中的 HTML 片段。
关于asp.net-mvc - ASP.NET MVC 中的 HTML 清理程序可过滤危险标记,但允许其余标记,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8668446/