使用HttpUtility.HtmlEncode和处理特殊字符/变音符号等

Question

我使用HttpUtility.HtmlEncode来消毒用户输入以防止XSS攻击。我的问题是，HtmlEncode将特殊字符（如ü）转换为它们的Html等效代码。我找不到关于它做什么和不编码的文档。然后为了正确显示这个给用户我需要HtmlDecode它。

2个问题：

1. 如何HtmlEncode决定它需要编码理应有效字符像ü而不是其他Unicode字符像标准的英文字母字符。 HtmlEncode是否对所有非ascii字符进行编码？什么是防止脚本标记但允许特殊字符（如变音符号）而不创建特殊忽略列表的最佳方法？

2. 是否使用HtmlDecode暴露的危险，因为它被转换回潜在的恶意的JavaScript

Answer 1

1. 的HTMLEncode（）做两个主要方面：
   1. 它处理的是不是一部分的任何字符默认的127个ASCII字符集。
   2. 它对可能被浏览器误解为有效的HTML，CSS或Javascript的字符进行编码，以防止意外和故意改变网页。
2. 使用危险吗？根据使用方法的不同，一切都可能会很危险。问题不是“你在解码吗？”而是“你在解码用户数据吗？”。根据你对结果做什么，使用它肯定会很危险。即使只显示给客户端也会导致XSS。

关于编码和解码有更多的关于编码和解码的信息比我在这里可以写得更多，而且之前的人已经对它做了比我更详尽的解释。 This article on preventing XSS in Asp.Net可以解释你的XSS是什么以及如何防止它。