我有 CMS 系统,我使用 CK 编辑器输入数据。现在如果用户输入<script>alert('This is a bad script, data');</script>然后 CKEditor 完成了公平的工作并正确编码并通过<script>alert('This is a bad script, data')</script>到服务器。
但是,如果用户进入浏览器开发人员工具(使用 Inspect 元素)并将其添加到其中,如下面的屏幕截图所示,那么这就是所有麻烦开始的时候。现在,从数据库检索后,当它显示在浏览器中时,它会显示警报框。
到目前为止,我已经尝试了很多不同的事情,其中之一就是
HttpUtility.HtmlEncode(Contents)] 然后将其存储在数据库中,并在浏览器中显示时对其进行解码并使用 MvcHtmlString.Create 显示它[MvcHtmlString.Create(HttpUtility.HtmlDecode(Contents))] 或 Html.Raw [Html.Raw(Contents)] 正如您所期望的那样,它们都显示 JavaScript 警报。我不想更换<script>手动通过代码,因为它是不全面的解决方案(搜索“和编码状态:”)。
到目前为止,我已经参考了很多文章(抱歉,没有在这里列出所有文章,只是添加了一些文章作为证据,以表明我在写这个问题之前已经付出了真诚的努力),但没有一篇文章有显示答案的代码。可能有一些简单的答案,但我没有朝着正确的方向寻找,或者可能根本没那么简单,我可能需要使用类似的东西内容安全政策.
具有 AntiXSS 保护的 ASP.Net MVC Html.Raw 使用@Html.Raw有风险吗? http://blog.simontimms.com/2013/01/21/content-security-policy-for-asp-net-mvc/ http://blog.michaelckennedy.net/2012/10/15/understanding-text-encoding-in-asp-net-mvc/
要重现我所说的内容,请转到*this url并在文本框中输入<script>alert('This is a bad script, data');</script>并单击按钮。
*此链接来自迈克尔·肯尼迪的博客
我设法使用 NuGet 中的 HtmlSanitizer 解决了这个问题:
https://github.com/mganss/HtmlSanitizer
根据 OWASP 基金会的建议(我需要的好建议):
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet#RULE_.236_-_Sanitize_HTML_Markup_with_a_Library_Designed_for_the_Job
首先,添加 NuGet 包:
> Install-Package HtmlSanitizer
然后我创建了一个扩展方法来简化事情:
using Ganss.XSS;
...
public static string RemoveHtmlXss(this string htmlIn, string baseUrl = null)
{
if (htmlIn == null) return null;
var sanitizer = new HtmlSanitizer();
return sanitizer.Sanitize(htmlIn, baseUrl);
}
然后,当 HTML 发布时,我在控制器内进行验证:
var cleanHtml = model.DodgyHtml.RemoveHtmlXss();
为了完整起见,每次将其呈现到页面时都要进行清理,尤其是在使用 Html.Raw() 时:
<div>@Html.Raw(Model.NotSoSureHtml.RemoveHtmlXss())</div>