如何使用wysihtml5編輯器防止注入攻擊

Question

我正在使用wysihtml5編輯器，以允許用戶在ASP.NET MVC4討論論壇上發布消息。 這些消息存儲在mssql數據庫中，並使用Razor語法呈現到屏幕：

@Html.Raw(post.Html)

盡管這些用戶已通過身份驗證，但我希望確保我不會受到以下注入攻擊的攻擊：

用戶帖子：

<script>alert('Hacked:' + secretInformation)</script>

帶有以下內容的MVC渲染警報框：

Hacked: ::secret info::

我已經允許通過在控制器中進行設置將html存儲在數據庫中：

[ValidateInput(false)]

我可以采取哪些步驟來確保僅呈現干凈的html代碼並且不容易受到攻擊？

Answer 1

在先前的問題中已經回答了這個問題，但是這里有一些信息：

AntiXss.HtmlEncode與AntiXss.GetSafeHtmlFragment

您將需要sanitzer代碼，因為您希望HTML呈現，但是出於安全原因，您不希望腳本標記之類的內容顯示在標記中。 在將html持久保存在數據庫中之前，我還將使用AntiXss.GetSafeHtmlFragment 。 當您使用剃須刀的@Html.Raw時，這將幫助您節省@Html.Raw

Answer 2

我在這里找到了一個很好的解決方案： AntiXss 4.2打破了一切

感謝賈斯汀的指導。 讓我們去微軟吧，讓我們看看不會吞噬我所有標簽的解決方案！