我有一个编辑器,可让用户添加存储在数据库中并呈现在网页上的HTML。由于这是不可信的输入,我打算使用Microsoft.Security.Application.AntiXsSS.GetSafeHtmlFragment
来清理HTML。在存储到数据库之前或渲染之前对HTML进行消毒处理? (ASP.NET中的AntiXSS库)
- 我应该在保存到数据库之前还是在将不可信输入呈现到网页之前进行santiize?
- 在我的项目中包含AntiXSS源代码而不是仅包含DLL是否有优势? (也许我可以自定义白名单?)
- 哪一类文件,我应该去找实际执行的GetSafeHtmlFragment
我回来并投票支持你因为我同意你的论点,你的建议与OWASP的建议相符。希望@ user102533会切换并接受你的。 – David 2010-02-26 17:51:05
他没有存储编码数据,他存储的是消毒数据 - 差别很大(它仍然是未编码的HTML) – orip 2010-05-05 12:59:08
点2仍然存在(是的,我在阅读中没有给予足够的关注!)如果在消毒剂中存在错误怎么办?或者你想改变sanitzation规则? – blowdart 2010-05-05 16:28:41