2012-02-01 126 views
0

过滤掉不良的HTML数据在我的剃须刀MVC应用程序,我这样做增加了功能,其中一个模型属性允许HTML:在剃刀

[AllowHtml] 
public string Body { get; set; } 

这个伟大的工程。但是我想知道,我想确保用户不会提交恶意数据,所以有人建立了一个实用程序或库来过滤JavaScript语句等错误的HTML数据?我打算解码HTML并在用户界面中显示,所以很自然我想要有点限制。我知道我必须从代​​码手动执行此操作,只是对一些指针或实用程序感到好奇。

谢谢。

回答

1

绝对!来自微软的anti-xss库有一个消毒剂: 它使用起来很简单,我在本周在pluralsight.com上发布的“Hack Proofing your ASP.Net Applications”系列视频中会介绍这一点(还有更多)。 Theres不仅仅是html编码,如果你使用html,那么对于用于跨站点脚本的悬而未决的html问题以及不正确地使用可能导致xss的javascript函数的警告也是如此。查看视频系列(主题比这里的帖子要长很多)

 

Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment(yourHtml); 
 

获取网络保护库中的代码。注意在asp.net 4.5本应包含在System.Web.Security

http://wpl.codeplex.com/

+0

真棒,谢谢。 – 2012-02-01 18:26:47