堆栈内存溢出
  繁体   English   中英

剥离不在安全列表中的HTML标签的方法

[英]Method to strip HTML tags not in a safe list

 原文  2010-08-10 18:49:10       c#/ asp.net

问题描述

是否有一种方法可以清除不在安全标签列表中的所有HTML标签? 如果没有,实现该方法 的正则表达式 将是什么?

我在寻找类似PHP的 strip_tags函数的东西。

3 个解决方案

解决方案1
 7  2010-08-10 18:50:28

做。 不。 采用。 正则表达式。 至。 解析。 HTML。

使用XML解析器:
MSDN参考
简单教程
HTMLAgilityPack

解决方案2
 2 已采纳  2010-08-10 21:19:56

NullUserException的答案是完美的,我做了一些扩展方法来做,如果有人需要,我会在这里发布。 

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Xml;
using System.IO;

namespace Extenders
{
    public static class StringExtender
    {
        internal static void ParseHtmlDocument(XmlDocument doc, XmlNode root, string[] allowedTags, string[] allowedAttributes, string[] allowedStyleKeys)
        {
            XmlNodeList nodes;

            if (root == null) root = doc.ChildNodes[0];
            nodes = root.ChildNodes;

            foreach (XmlNode node in nodes)
            {
                if (!(allowedTags.Any(x => x.ToLower() == node.Name.ToLower())))
                {
                    var safeNode = doc.CreateTextNode(node.InnerText);
                    root.ReplaceChild(safeNode, node);
                }
                else
                {
                    if (node.Attributes != null)
                    {
                        var attrList = node.Attributes.OfType<XmlAttribute>().ToList();
                        foreach (XmlAttribute attr in attrList)
                        {
                            if (!(allowedAttributes.Any(x => x.ToLower() == attr.Name)))
                            {
                                node.Attributes.Remove(attr);
                            }
                            // TODO: if style is allowed, check the allowed keys: values
                        }
                    }
                }

                if (node.ChildNodes.Count > 0)
                    ParseHtmlDocument(doc, node, allowedTags, allowedAttributes, allowedStyleKeys);
            }
        }

        public static string ParseSafeHtml(this string input, string[] allowedTags, string[] allowedAttributes, string[] allowedStyleKeys)
        {
            var xmlDoc = new XmlDocument();
            xmlDoc.LoadXml("<span>" + input + "</span>");

            ParseHtmlDocument(xmlDoc, null, allowedTags, allowedAttributes, allowedStyleKeys);

            string result;

            using (var sw = new StringWriter())
            {
                using (var xw = new XmlTextWriter(sw))
                    xmlDoc.WriteTo(xw);

                result = sw.ToString();
            }

            return result.Substring(6, result.Length - 7);
        }
    }
}

使用方法: 

var x = "<b>allowed</b><b class='text'>allowed attr</b><b id='5'>not allowed attr</b><i>not all<b>o</b>wed tag</i>".ParseSafeHtml((new string[] { "b", "#text" }), (new string[] { "class" }), (new string[] { }));

哪个输出: 

<b>allowed</b><b class='text'>allowed attr</b><b>not allowed attr</b>not allowed tag

如果不允许该元素,它将获取innerText并拉出标签,并删除所有内部标签。

解决方案3
 0  2010-08-10 18:52:07

您可以使用MS AntiXSS库清除可能执行的HTML。 在这里看一下:

http://msdn.microsoft.com/en-us/security/aa973814.aspx

http://wpl.codeplex.com/

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 剥离HTML标签? 带字HTML标签 去除除某些 HTML 标签之外的所有 HTML 标签? markitup编辑器将输出显示为html和带标签 如何在HTML标签之间去除字符 删除HTML,保留粗体/强标签 C#剥离HTML标签,解码实体 HTML Agility Pack strip标签不在白名单中 剥离所有 HTML 标签和格式(RegEx) 正则表达式,用于删除除sub&sup标记之外的所有HTML标记
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM