构建输入文本区域以允许 HTML 但防止安全/脚本攻击

2023-11-21

平台：ASP.NET 4.0 MVC 4 C# jQuery

这就是我想做的。

我正在为我的产品建立一个简单的论坛。我想为用户提供一个文本区域来输入他们的帖子或评论。

我想允许基本文本格式 HTML 和链接 - 例如 p、a、b、i
不需要任何其他 html 样式 - 即 div、span 等。
不需要任何脚本访问权限

有什么聪明的方法可以做到这一点吗？例如，我可以允许不安全的文本并在服务器端检查它，但我怀疑我是否能够正确清理它并可能打开安全漏洞。

最好要避免重型插件。

Thanks!

（PS - 我最糟糕的后备方案是我只允许安全文本，即保持 ASP.NET 安全性，然后对链接使用特殊标记 - 例如 [link] [b] [i]）

更新（2020 年 2 月）： 微软的 AntiXSS 库在其 Sanitizer 类上包含一个名为 GetSafeHtmlFragment 的静态方法，该方法似乎可以完成此任务。（建议来自@exploring.cheerily.impresses)

在 .NET 4.5+ 中或通过添加System.Web.Security.AntiXss对于旧版本的.NET，有一个很好的方法来解决这个问题。我们可以用[AllowHtml]和自定义注释属性在一起。该方法应将字符串内的 HTML 标记列入白名单并验证请求。

以下是此作业的自定义注释属性：

[AttributeUsage(AttributeTargets.Property | AttributeTargets.Field, Inherited = true, AllowMultiple = false)]
public sealed class RemoveScriptAttribute : ValidationAttribute
{
    public const string DefaultRegexPattern = @"\<((?=(?!\b(a|b|i|p)\b))(?=(?!\/\b(a|b|i|p)\b))).*?\>";

    public string RegexPattern { get; }

    public RemoveScriptAttribute(string regexPattern = null)
    {
        RegexPattern = regexPattern ?? DefaultRegexPattern;
    }

    protected override ValidationResult IsValid(object value, ValidationContext ctx)
    {
        var valueStr = value as string;
        if (valueStr != null)
        {
            var newVal = Regex.Replace(valueStr, RegexPattern, "", RegexOptions.IgnoreCase, new TimeSpan(0, 0, 0, 0, 250));

            if (newVal != valueStr)
            {
                var prop = ctx.ObjectType.GetProperty(ctx.MemberName);
                prop.SetValue(ctx.ObjectInstance, newVal);
            }
        }

        return null;
    }
}

然后你应该使用 [AllowHtml] 和 [RemoveScript] 属性来装饰你想要 HTML 的模型属性，如下所示：

public class MyModel
{
    [AllowHtml, RemoveScript]
    public string StringProperty { get; set; }
}

这将只允许、、和 html 标签获取它。所有其他标签都将被删除，但它足够智能，可以保留标签的内部文本。例如。如果您发送：

“这是John Smith输入的富文本。”

你最终会得到这个：

“这是 John Smith 输入的富文本。”

将更多 HTML 标签列入白名单也很容易。例如。如果你想接受，
和

，更改DefaultRegexPattern（影响全局）或将修改后的 regexPattern 传递给实例RemoveScriptAttribute，像这样：

[AllowHtml]
[RemoveScript(regexPattern: @"\<((?=(?!\b(a|b|i|p|u|br|hr)\b))(?=(?!\/\b(a|b|i|p|u)\b))).*?\>")]
public string Body { get; set; }

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

aspnet

ASPNETMVC

security

构建输入文本区域以允许 HTML 但防止安全/脚本攻击的相关文章

检查域名是否可供购买 - C# [关闭]

Closed 此问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案有什么方法可以检查某个域名是否可以购买是否有任何图书馆可以做到这一点 THanks 您可以看一下 ht
如何在周围的 DIV 上添加额外的 CSS 类以应对失败的表单验证？

这是我的场景 div class required div
DownloadProgressChangedEventHandler 多久被调用一次

我正在使用 Webclient 异步下载文件我想知道多久一次 DownloadProgressChangedEventHandler 被调用吗用户可以控制吗以下内容适用于完整的 NET Framework 因为您的问题被标记为 ASP
在 JavaScript（而非 JQuery）中自动设置电话号码格式

我发现以下代码用于在 JavaScript 中格式化电话号码这篇文章来自堆栈溢出 https stackoverflow com questions 45471788 formatting the phone number for mult
后退按钮不会导致回发到 MVC 中的控制器操作

当我在 Win7 上的 IE10 或 Chrome 中单击后退按钮时它不会到达 MVC 控制器中的断点 IE 开发者工具中的网络选项卡显示 304 未修改并且 Fiddler 未捕获该请求我期待着回帖这样我就可以在我的控制器中工
IHttpModule 和控制台应用程序的流畅 NHibernate 模式

我目前有一个在存储库模式中使用 Fluent NHibernate LINQ 的 C MVC 2 Web 应用程序并使用 Ninject 来处理 MVC 控制器的构造函数要求将其传递到存储库中我的 Fluent NHibernate
与 Postgres 的 TCP 连接安全吗？需要 SSL 吗？

早上好我正在浏览 Postgresql 配置文件最近注意到有一个ssl选项我想知道什么时候需要这样做假设您有一个应用程序服务器和一个数据库服务器不在专用网络内运行如果用户尝试登录如果未启用 SSL 应用程序服务器在查找用户密码
Google Analytics API 显示页面浏览量

使用 NET MVC 3 我想在网站的每个页面上显示页面视图我已经设置了谷歌分析我知道有一个 API 但不知道从哪里开始有什么指示可以说明我需要什么更具体地说要查看什么来显示页面视图在 Views Shared 文件夹中创建一个
FluentValidation：验证类型名称必须是唯一的

我的代码中指定了以下规则 RuleFor x gt x Auction Round1Ring1Start GreaterThan DateTime Now RuleFor x gt x Auction Round1Ring1End Grea
从 java 反射中隐藏我的安全密钥

下面的类是我用于加密的安全密钥提供程序 public class MySecretKey private String key 2sfdsdf7787fgrtdfg cj5 Some Util methods goes on Here 首先
找出用户属于哪些组

我有一个刚刚创建的 Windows 用户帐户以 XYZ 为例此 XYZ 属于我在计算机管理 gt 本地用户和组中创建的用户组和自定义组因此在属性中我看到该用户属于 2 个组现在我想获取这些组并显示它们有什么建议么我已经这样做了
" 是 JSON 字符串

我有一个 JSON 字符串当使用 Model JsonData 在 ASP NET MVC 页面中显示时它看起来像这样 id 123 text Consumer parent 当我在 JavaScript 代码中使用相同的 Model
System.Runtime.InteropServices.COMException (0x80080005): 检索具有 CLSID 的组件的 COM 类工厂

我正在一个简单的 asp net c 应用程序中用来自 SQL Server 的数据替换 MS Word MergeFields 它在本地工作正常但是当我发布它时often我得到以下信息 System Runtime InteropSer
将 ASP.NET 验证与 JQuery 结合起来的优雅方式

如何最好地将 JQuery 与 ASP NET 客户端验证模型结合起来我通常会避免实现 ASP NET 验证模型因为它对于我正在做的事情来说总是显得大材小用对于我现在正在开发的网站我只是收集非关键用户数据并且只需要一些基本的验证
使用存储过程访问数据可以提供哪些安全优势？

我看到一些指南建议您通过存储过程对所有数据访问进行分层来保护数据库我知道对于 SQL Server 您可以保护表甚至列免受 CRUD 操作的影响例如 Logged in as sa USE AdventureWorks GRANT SE
是否应该用于 JSF 2.2 CSRF 保护？

我很困惑我看到 JSF 2 0 有隐式 CSRF 保护 JSF 2 0 如何防止 CSRF https stackoverflow com questions 8704612 how jsf 2 0 prevents csrf 根据文章的
用于存储和检索每个用户敏感数据的.Net 设计模式

Net 服务器应用程序是否有与存储和检索敏感的每个用户信息例如第 3 方凭据相关的参考模式我的初步设计思路是生成具有适当强私钥的自签名 X509 证书导出证书和密钥并将其存储在 USB 密钥中该 USB 密钥将被锁在宝箱中并由龙
如何将隐藏字段从一个页面传递到另一页面？

我有一个 Net 类库我想从一次代码隐藏页面传递一个隐藏变量并在另一个代码隐藏页面中获取它请注意我没有任何可以使用表单标签和 get post 方法的设计页面 aspx 页面我们应该怎么做注意我想使用隐藏字段将值从一页传递到另
CheckboxFor 不与嵌套对象绑定

当模型中嵌套的对象中定义属性时 CheckBoxFor 不受限制这是一个例子我有一个SearchOptions模型包含一个List
Server.MapPath - 给定的物理路径，预期的虚拟路径

我正在使用这行代码 var files Directory GetFiles Server MapPath E ftproot sales 在文件夹中查找文件但是我收到错误消息说给定物理路径但虚拟路径预期的我对在 C 中使用 Sys

随机推荐

Android 地图：无法加载地图。无法联系 Google 服务器

这个错误一直持续存在我确保 Google Maps Android API v2 已打开这是 MainActivity java package com example maptest import android os Bundle
获取父级
的子级
的值

div div some value div div 我如何获得某些价值我试过 var parent document getElementById parent var child parent childNodes 0 var ch
shouldAutorotate、supportedInterfaceOrientations 和 PreferredInterfaceOrientationForPresentation 在 iOS 7 中无法按预期工作

我在尝试阻止某些视图中的方向时遇到问题但代码不是工作属性我在每个视图中都使用这一行 BOOL shouldAutorotate return YES NSUInteger supportedInterfaceOrientations i
如何将可变参数模板函数声明为友元？

如何将可变参数模板函数声明为友元例如如下 template
Firebase 存储 - 图像服务的 URL

我正在尝试让 Firebase Storage 与图像服务配合使用例如Imgix or 云数但是 Firebase 提供的下载 URL 似乎不适用于这些服务例如云数说你可以像这样获取图像 http res cloudinary co
pandas-compat：“导入 pandas”给出 AttributeError：模块“pandas”没有属性“compat”

gt gt gt import pandas Traceback most recent call last File
如何改变Android应用程序的背景颜色

我希望能够以最简单的方式将我的 Android 应用程序中的背景颜色更改为白色您需要使用 android background 属性例如 android background color white 您还需要在 strings xml
Eclipse 中的 Web 应用程序库为空 - 未找到“jar”

最近我在 Eclipse Indigo 中开发的 Spring MVC Java 应用程序似乎失去了与我所有 jar 所在的 lib 文件夹的连接不再为我的项目找到 jar 我该如何解决对我来说修复很简单转到 Eclipse 菜单
如何更改框架“JAVAFX”中标题栏的颜色？

我是 JavaFX 的初学者有没有办法改变标题栏的颜色我只是想让应用程序全黑我搜索了JavaFX API 但找不到任何方法来实现它这几乎是一个依赖于操作系统的事情操作系统决定默认情况下标题栏和边框的显示方式但是如果您愿意冒险制
java中的词干库[关闭]

就目前情况而言这个问题不太适合我们的问答形式我们希望答案得到事实参考资料或专业知识的支持但这个问题可能会引发辩论争论民意调查或扩展讨论如果您觉得这个问题可以改进并可能重新开放访问帮助中心以获得指导 java中有没有用于词干提
mongodb 中的 SQL 视图

我目前正在评估我已经启动的项目的 mongodb 但我找不到任何关于 mongodb 中 SQL 视图的等效信息我需要的是 SQL 视图提供的功能将来自不同表集合的数据集中到一个集合中我只想将一些文档聚集在一起并将它们标记为单个文
从 Spark 集群上的 S3 读取 Spark 作业会出现 IllegalAccessError: attempts to access method MutableCounterLong [重复]

这个问题在这里已经有答案了我在 DC OS 上有一个 Spark 集群并且正在运行一个从 S3 读取数据的 Spark 作业版本如下火花2 3 1 Hadoop 2 7 AWS 连接的依赖项 org apache hadoop ha
Android 图像未显示在 imageview 中

我的 xml 文件有问题我想显示图片但图片未显示奇怪的是我在应用程序的其他部分使用同一张图片并且一切正常我正在使用的照片也在 android studio 中显示但不在我的手机上你可以在下面找到我的 xml
如何显示 Facebook Comments 社交插件的最新评论？

好吧我只是有一个非常直接的问题如何在我的网站上显示 Facebook 评论社交插件的最新评论我已经在我的 WordPress 博客上集成了 facebook 评论社交插件我只想在侧边栏上放置一个小部件来显示社交插件的最新评论 Tha
Linux 中是否可以从内核空间调用用户空间回调函数（ioctl）？

是否可以扩展Linux中的ioctl接口以便用户空间应用程序可以将指向函数的指针发送到内核空间驱动程序我特别考虑以用户可控的方式处理流但在内核中进行的方法这些操作可以附加到内核模块但这将使开发变得更加容易因为我不需要在开发过程中弄
如何隐藏 HTML 表格中的列？

我已经在 ASPX 中创建了一个表我想根据要求隐藏其中一列但没有像这样的属性visible在 HTML 表格构建中我该如何解决我的问题为此您需要使用样式表 td style display none td
由于 x509 证书依赖于旧版 Common Name 字段，无法使用 Golang 连接到服务器

我正在尝试连接 mongodb 服务器要连接我必须提供 CA 证书文件和 tls 证书文件当我使用以下命令时没有问题 mongo host customhost port DB authenticationDatabase DB u
使用 virtualenv 恢复 `--no-site-packages` 选项

我使用以下命令创建了一个 virtualenv no site packages选项并安装了很多库现在我想恢复 no site packages选项并使用全局包我可以在不重新创建 virtualenv 的情况下做到这一点吗更确切地说
C语言中如何实现函数重载？

C语言中有没有办法实现函数重载我正在寻找要重载的简单函数例如 foo int a foo char b foo float c int d 我认为没有直接的方法我正在寻找解决方法如果存在 Yes 自从提出这个问题以来标准 C 无扩
构建输入文本区域以允许 HTML 但防止安全/脚本攻击

平台 ASP NET 4 0 MVC 4 C jQuery 这就是我想做的我正在为我的产品建立一个简单的论坛我想为用户提供一个文本区域来输入他们的帖子或评论我想允许基本文本格式 HTML 和链接例如 p a b i 不需要任何其他

构建输入文本区域以允许 HTML 但防止安全/脚本攻击

构建输入文本区域以允许 HTML 但防止安全/脚本攻击 的相关文章

随机推荐

热门标签

构建输入文本区域以允许 HTML 但防止安全/脚本攻击的相关文章