清理文本输入以在HTML页面

时间:2018-01-24 09:00:10

标签: c# antixsslibrary input-sanitization client-side-attacks

为我们的网站建立了聊天程序。该程序的一部分允许网页评论区域用于聊天该页面。

因此有一个文本输入,因此输入文本并在页面上重新显示 显然这有潜在的风险。

因此,为了使文本字符串输入对于网页上的重新显示是安全的,我可以直接禁用<>字符及其编码的xml和十六进制等效字符吗?

没有脚本标签,是否还有其他可以嵌入文本字符串的潜在攻击媒介?

1 个答案:

答案 0 :(得分:0)

您实际上不需要禁止这些字符,您可以将它们转义(例如>变为&gt;依此类推)。这可以安全地将所有HTML转换为可读文本。请记住,不仅脚本标签你也可以做<span onmouseOver="javascript here">之类的事情,你也可以加载可能利用浏览器弱点的图像,你可以添加显示恶意内容的iframe等等。因此,HTML转义整个字符串可能是最安全的选择。

OWASP项目有一些C#库,您可以将它们用于您的目的。 https://www.owasp.org/index.php/.NET_AntiXSS_Library