用于清理XSS HTML数据的C#中最可靠或最完善的库是什么?我不想仅使用完整的框架来执行此操作。也许甚至不需要图书馆?我宁愿不做我自己的正则表达式实现,即使它被证明有效的复制和粘贴正则表达式,肯定有一个库。
PHP有htmlspecialchars()来阻止XSS,它只用于输出数据而不对存储的数据做任何事情。 C#有这样的东西吗?
答案 0 :(得分:1)
在XSS攻击中,黑客可以将恶意JavaScript代码注入到将在客户端浏览器中执行的网页中。
您可以尝试以下方式:
在添加到DOM之前,文本应为HTML encoded。
应使用X-XSS-Protection标头启用XSS过滤器
浏览器:X-XSS-Protection "1; mode=block"
应该使用TempData之类的东西在视图之间传递数据,而不是攻击者可以注入恶意JavaScript代码的参数
Here是关于防止XSS攻击的好文章