剥离不在安全列表中的HTML标记的方法

时间:2010-08-10 18:49:11

标签: c# asp.net

是否有方法可以删除不在安全标记列表中的所有HTML标记?如果没有,那么一个正则表达式实现它的方法是什么?

我正在寻找像PHP的strip_tags函数一样的东西。

3 个答案:

答案 0 :(得分:7)

Do. Not. Use. Regex. To. Parse. HTML.

使用XML解析器:
MSDN Reference
Simple Tutorial
HTMLAgilityPack

答案 1 :(得分:2)

NullUserException答案是完美的,我做了一个小扩展方法,如果有其他人需要我在这里发帖。

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Xml;
using System.IO;

namespace Extenders
{
    public static class StringExtender
    {
        internal static void ParseHtmlDocument(XmlDocument doc, XmlNode root, string[] allowedTags, string[] allowedAttributes, string[] allowedStyleKeys)
        {
            XmlNodeList nodes;

            if (root == null) root = doc.ChildNodes[0];
            nodes = root.ChildNodes;

            foreach (XmlNode node in nodes)
            {
                if (!(allowedTags.Any(x => x.ToLower() == node.Name.ToLower())))
                {
                    var safeNode = doc.CreateTextNode(node.InnerText);
                    root.ReplaceChild(safeNode, node);
                }
                else
                {
                    if (node.Attributes != null)
                    {
                        var attrList = node.Attributes.OfType<XmlAttribute>().ToList();
                        foreach (XmlAttribute attr in attrList)
                        {
                            if (!(allowedAttributes.Any(x => x.ToLower() == attr.Name)))
                            {
                                node.Attributes.Remove(attr);
                            }
                            // TODO: if style is allowed, check the allowed keys: values
                        }
                    }
                }

                if (node.ChildNodes.Count > 0)
                    ParseHtmlDocument(doc, node, allowedTags, allowedAttributes, allowedStyleKeys);
            }
        }

        public static string ParseSafeHtml(this string input, string[] allowedTags, string[] allowedAttributes, string[] allowedStyleKeys)
        {
            var xmlDoc = new XmlDocument();
            xmlDoc.LoadXml("<span>" + input + "</span>");

            ParseHtmlDocument(xmlDoc, null, allowedTags, allowedAttributes, allowedStyleKeys);

            string result;

            using (var sw = new StringWriter())
            {
                using (var xw = new XmlTextWriter(sw))
                    xmlDoc.WriteTo(xw);

                result = sw.ToString();
            }

            return result.Substring(6, result.Length - 7);
        }
    }
}

使用:

var x = "<b>allowed</b><b class='text'>allowed attr</b><b id='5'>not allowed attr</b><i>not all<b>o</b>wed tag</i>".ParseSafeHtml((new string[] { "b", "#text" }), (new string[] { "class" }), (new string[] { }));

哪个输出:

<b>allowed</b><b class='text'>allowed attr</b><b>not allowed attr</b>not allowed tag

如果不允许该元素,它将获取innerText并拉出标记,删除所有内部标记。

答案 2 :(得分:0)

您可以使用MS AntiXSS库来清理可能可执行的HTML。看看这里:

http://msdn.microsoft.com/en-us/security/aa973814.aspx

http://wpl.codeplex.com/

相关问题
最新问题