为我们的网站建立了聊天程序。该程序的一部分允许网页评论区域用于聊天该页面。
因此有一个文本输入,因此输入文本并在页面上重新显示 显然这有潜在的风险。
因此,为了使文本字符串输入对于网页上的重新显示是安全的,我可以直接禁用<和>字符及其编码的xml和十六进制等效字符吗?
没有脚本标签,是否还有其他可以嵌入文本字符串的潜在攻击媒介?
答案 0 :(得分:0)
您实际上不需要禁止这些字符,您可以将它们转义(例如>变为>依此类推)。这可以安全地将所有HTML转换为可读文本。请记住,不仅脚本标签你也可以做<span onmouseOver="javascript here">之类的事情,你也可以加载可能利用浏览器弱点的图像,你可以添加显示恶意内容的iframe等等。因此,HTML转义整个字符串可能是最安全的选择。
OWASP项目有一些C#库,您可以将它们用于您的目的。 https://www.owasp.org/index.php/.NET_AntiXSS_Library