前端之家收集整理的这篇文章主要介绍了
.net – 使用MS Anti XSS库清理HTML,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
为了防止XSS攻击,我正在更新一个
页面,在该
页面中我们有一个接受
HTML的文本框,将其存储在
数据库中并在以后检索和呈现它.
我的理解是我可以使用AntiXSS.GetSafeHtmlFragment()方法清理HTML.只要我在将HTML存储到数据库之前执行此操作,我是否可以使用?当HTML在网页上输出时,我是否需要做任何事情?
此外,似乎白名单是一种黑盒子.有没有办法根据我们的要求更新这个?
你应该被设定.虽然显然这不会保护您免受
数据库中已有的任何事情的影响.
您可以在输出页面时使用AntiXSS.GetSafeHtmlFragment()而不是在保存时使用.但是在保存时做的可能更安全.但是,在渲染和保存时,您不希望这样做.
白名单不可编辑.
原文链接:https://www.f2er.com/js/151073.html
