[英]How to prevent an Injection attack with wysihtml5 editor
我正在使用wysihtml5編輯器,以允許用戶在ASP.NET MVC4討論論壇上發布消息。 這些消息存儲在mssql數據庫中,並使用Razor語法呈現到屏幕:
@Html.Raw(post.Html)
盡管這些用戶已通過身份驗證,但我希望確保我不會受到以下注入攻擊的攻擊:
用戶帖子:
<script>alert('Hacked:' + secretInformation)</script>
帶有以下內容的MVC渲染警報框:
Hacked: ::secret info::
我已經允許通過在控制器中進行設置將html存儲在數據庫中:
[ValidateInput(false)]
我可以采取哪些步驟來確保僅呈現干凈的html代碼並且不容易受到攻擊?
在先前的問題中已經回答了這個問題,但是這里有一些信息:
AntiXss.HtmlEncode與AntiXss.GetSafeHtmlFragment
您將需要sanitzer代碼,因為您希望HTML呈現,但是出於安全原因,您不希望腳本標記之類的內容顯示在標記中。 在將html持久保存在數據庫中之前,我還將使用AntiXss.GetSafeHtmlFragment
。 當您使用剃須刀的@Html.Raw
時,這將幫助您節省@Html.Raw
我在這里找到了一個很好的解決方案: AntiXss 4.2打破了一切
感謝賈斯汀的指導。 讓我們去微軟吧,讓我們看看不會吞噬我所有標簽的解決方案!
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.