清理 AntiXSS v3 输出中的 html 编码文本（#decimal notation）

2024-05-01

我想在 XSS 安全的博客引擎中发表评论。尝试了很多不同的方法，但发现非常困难。

当我显示评论时，我首先使用微软AntiXss 3.0 http://www.codeplex.com/AntiXSS对整个内容进行 html 编码。然后我尝试使用白名单方法对安全标签进行 html 解码。

一直在看史蒂夫·唐宁的例子 http://refactormycode.com/codes/333-sanitize-html#refactor_44440在 Atwood 在 refactormycode 的“清理 HTML”线程中。

我的问题是 AntiXss 库将值编码为 DECIMAL;符号，我不知道如何重写史蒂夫的例子，因为我的正则表达式知识有限。

我尝试了以下代码，我只是将实体替换为十进制形式，但它无法正常工作。

&lt; with &#60;
&gt; with &#62;

我的重写：

class HtmlSanitizer
{
    /// <summary>
    /// A regex that matches things that look like a HTML tag after HtmlEncoding.  Splits the input so we can get discrete
    /// chunks that start with &lt; and ends with either end of line or &gt;
    /// </summary>
    private static Regex _tags = new Regex("&#60;(?!&#62;).+?(&#62;|$)", RegexOptions.Singleline | RegexOptions.ExplicitCapture | RegexOptions.Compiled);


    /// <summary>
    /// A regex that will match tags on the whitelist, so we can run them through 
    /// HttpUtility.HtmlDecode
    /// FIXME - Could be improved, since this might decode &gt; etc in the middle of
    /// an a/link tag (i.e. in the text in between the opening and closing tag)
    /// </summary>
    private static Regex _whitelist = new Regex(@"
^&#60;/?(a|b(lockquote)?|code|em|h(1|2|3)|i|li|ol|p(re)?|s(ub|up|trong|trike)?|ul)&#62;$
|^&#60;(b|h)r\s?/?&#62;$
|^&#60;a(?!&#62;).+?&#62;$
|^&#60;img(?!&#62;).+?/?&#62;$",


      RegexOptions.Singleline | RegexOptions.IgnorePatternWhitespace |
      RegexOptions.ExplicitCapture | RegexOptions.Compiled);

    /// <summary>
    /// HtmlDecode any potentially safe HTML tags from the provided HtmlEncoded HTML input using 
    /// a whitelist based approach, leaving the dangerous tags Encoded HTML tags
    /// </summary>
    public static string Sanitize(string html)
    {

        string tagname = "";
        Match tag;
        MatchCollection tags = _tags.Matches(html);
        string safeHtml = "";

        // iterate through all HTML tags in the input
        for (int i = tags.Count - 1; i > -1; i--)
        {
            tag = tags[i];
            tagname = tag.Value.ToLowerInvariant();

            if (_whitelist.IsMatch(tagname))
            {
                // If we find a tag on the whitelist, run it through 
                // HtmlDecode, and re-insert it into the text
                safeHtml = HttpUtility.HtmlDecode(tag.Value);
                html = html.Remove(tag.Index, tag.Length);
                html = html.Insert(tag.Index, safeHtml);
            }

        }

        return html;
    }

}

我的输入测试 html 是：

<p><script language="javascript">alert('XSS')</script><b>bold should work</b></p>

AntiXss之后变成：

&#60;p&#62;&#60;script language&#61;&#34;javascript&#34;&#62;alert&#40;&#39;XSS&#39;&#41;&#60;&#47;script&#62;&#60;b&#62;bold should work&#60;&#47;b&#62;&#60;&#47;p&#62;

当我运行上面的 Sanitize(string html) 版本时，它给出了：

<p><script language="javascript">alert&#40;&#39;XSS&#39;&#41;</script><b>bold should work</b></p>

正则表达式正在匹配我不想要的白名单中的脚本。对此的任何帮助将不胜感激。

你的问题是 C# 错误地解释了你的正则表达式。您需要转义#号。如果没有转义，它就匹配太多了。

private static Regex _whitelist = new Regex(@"
    ^&\#60;(&\#47;)? (a|b(lockquote)?|code|em|h(1|2|3)|i|li|ol|p(re)?|s(ub|up|trong|trike)?|ul)&\#62;$
    |^&\#60;(b|h)r\s?(&\#47;)?&\#62;$
    |^&\#60;a(?!&\#62;).+?&\#62;$
    |^&\#60;img(?!&\#62;).+?(&\#47;)?&\#62;$",

    RegexOptions.Singleline |
    RegexOptions.IgnorePatternWhitespace |
    RegexOptions.ExplicitCapture 
    RegexOptions.Compiled
 );

更新2：您可能对此感兴趣xss http://ha.ckers.org/xss.html and regexp http://regexpal.com/ site.

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

c

html

regex

Xss

清理 AntiXSS v3 输出中的 html 编码文本（#decimal notation）的相关文章

Asp.NET WebApi 中类似文件名称的路由

是否可以在 ASP NET Web API 路由配置中添加一条路由以允许处理看起来有点像文件名的 URL 我尝试添加以下条目WebApiConfig Register 但这不起作用使用 URIapi foo 0de7ebfa 3a55
Jquery 数据表列总和

我只是参考一下这个链接 https datatables net examples advanced init footer callback html了解如何获取 jquery 数据表中的列总计但我已经完成了一半的项目我在html页面
php - 解析html页面

div divbox div p para1 p p para2 p p para3 p table class table tr td td tr table p para4 p p para5 p 有人可以告诉我如何解析这个 html
尝试将数据存储在点击器网站中

我正在尝试存储一个名为的变量score无论何时刷新您都会一次又一次地使用它我不明白的是它的代码是什么我尝试了一些方法但似乎都不起作用这是我的答题器网站但是当我尝试使用 JavaScript 来存储它时它不起作用window o
使用实体框架模型输入安全密钥

这是我今天的完美想法 Entity Framework 中的强类型 ID 动机比较 ModelTypeA ID 和 ModelTypeB ID 总是至少几乎错误为什么编译时不处理它如果您使用每个请求示例 DbContext 那么很
C# 中通过 Process.Kill() 终止的进程的退出代码

如果在我的 C 应用程序中我正在创建一个可以正常终止或开始行为异常的子进程在这种情况下我通过调用 Process Kill 来终止它但是我想知道该进程是否已退出通常情况下我知道我可以获得终止进程的错误代码但是正常的退出代码是什
WCF 中 SOAP 消息的数字签名

我在 4 0 中有一个 WCF 服务我需要向 SOAP 响应添加数字签名我不太确定实际上应该如何完成我相信响应应该类似于下面的链接中显示的内容 https spaces internet2 edu display ISWG Signe
如何设计以 char* 指针作为类成员变量的类？

首先我想介绍一下我的情况我写了一些类将 char 指针作为私有类成员而且这个项目有 GUI 所以当单击按钮时某些函数可能会执行多次这些类是设计的单班在项目中但是其中的某些函数可以执行多次然后我发现我的项目存在内存泄漏所以我想
可以设置标题样式吗？（并且使用CSS或js？）[重复]

这个问题在这里已经有答案了我想知道是否可以设计一个title a href title This is a title Hello a 样式问题有两个方面文本格式编码我猜这是可能的所以在问题中这样做工具提示样式你能把它弄大一点
控件的命名约定[重复]

这个问题在这里已经有答案了 Microsoft 在其网站上提供了命名指南 here http msdn microsoft com en us library xzf533w0 VS 71 aspx 我还有框架设计指南一书我找不到有关
如何在 C 中调用采用匿名结构的函数？

如何在 C 中调用采用匿名结构的函数比如这个函数 void func struct int x p printf i n p x 当提供原型的函数声明在范围内时调用该函数的参数必须具有与原型中声明的类型兼容的类型其中兼容具有标准定
链接器错误：已定义

我尝试在 Microsoft Visual Studio 2012 中编译我的 Visual C 项目使用 MFC 但出现以下错误 error LNK2005 void cdecl operator new unsigned int 2
对现有视频添加水印

我正在寻找一种用 C 在视频上加水印的方法就像在上面写文字一样图片或文字标签我该怎么做谢谢您可以使用 Nreco 视频转换器代码看起来像 NReco VideoConverter FFMpegConverter wrap new
基于 OpenCV 边缘的物体检测 C++

我有一个应用程序我必须检测场景中某些项目的存在这些项目可以旋转并稍微缩放更大或更小我尝试过使用关键点检测器但它们不够快且不够准确因此我决定首先使用 Canny 或更快的边缘检测算法检测模板和搜索区域中的边缘然后匹配边缘以查
Javascript Replace() 和 $1 问题

我正在尝试创建一个脚本来搜索文本中的模式并在它找到的字符串周围包裹一个标签 shop attributes td each function this html function i html return html replace E 0
HTML 锚点，禁用样式

我有一些 html 锚链接代码与文档的其余部分不同我希望它看起来不是链接有没有一种简单的方法可以禁用由于将文本包装在锚标记中而引起的样式更改而不必强行使其相同即如果我更改正文字体样式我不必也更改其他一些 link东西将颜色设
如何在文本框中插入图像

有没有办法在文本框中插入图像我正在开发一个聊天应用程序我想用图标图像更改值等但我找不到如何在文本框中插入图像 Thanks 如果您使用 RichTextBox 进行聊天请查看Paste http msdn microsoft co
C++ 中类级 new 删除运算符的线程安全

我在我的一门课程中重新实现了新删除运算符现在我正在使我的代码成为多线程并想了解这些运算符是否也需要线程安全我在某处读到 Visual Studio 中默认的 new delete 运算符是线程安全的但这对于我的类的自定义 new
如何防止用户控件表单在 C# 中处理键盘输入（箭头键）

我的用户控件包含其他可以选择的控件我想实现使用箭头键导航子控件的方法问题是家长控制拦截箭头键并使用它来滚动其视图什么是我想避免的事情我想自己解决控制内容的导航问题我如何控制由箭头键引起的标准行为提前致谢 MTH 这通常是通过重写
对来自流读取器的过滤数据执行小计

编辑问题未得到解答我有一个基于 1 个标准的过滤输出前 3 个数字是 110 210 或 310 给出 3 个不同的组从流阅读器控制台问题已编辑因为第一个答案是我给出的具体示例的字面解决方案我使用的实际字符串长度为 450 个

随机推荐

将数组分配给结构体中的数组

我正在尝试将一个数组分配给 typedef 结构的一个字段但实际上找不到一种方法我已经搜索过这个问题但我似乎找到的只是 char 数组的答案这不是我正在寻找的我只是试图将一个数组分配给一个 int 数组并寻找一种实用的方法下面的
有没有快速的矩阵求幂方法？

Is there any faster method of matrix exponentiation to calculate Mn where M is a matrix and n is an integer than the sim
如何使用node在mongodb中插入长值？

我需要在 mongo 中插入一个属性的 Long 值 var sequences this db collection sequences sequences insert id TEST SEQ value 1 done 但这是以整数形式
Java 正则表达式 String.matches 工作不一致

我有一个正则表达式来检查字符串是否是数字该格式的千位分隔符是空格小数分隔符是点小数点后部分是可选的问题是在某些时候 String matches 函数会停止按预期工作以前有效的方法现在不再有效了例如 JUnit 代码 impo
DataTable 破坏了 Nested Repeater 和 Bootstrap

我遇到了数据表和嵌套重复器的问题它基本上表明我还没有获得正确匹配的 tr td 标签然而我已经按照下面的链接中的 Nested Repeater 教程进行操作对我来说 HTML 的格式正确当我检查 DOM 时一切似乎都很好该表
如何在 Entity Framework Core 6 中延迟（惰性）加载二进制属性 byte[] - C#

我有一个简单的表其中包含密钥名称和二进制内容我只需要在需要时加载二进制内容这在 Linq2Sql 中曾经非常简单但在 EF core 6 中除了导航集合的延迟加载之外我找不到任何东西这不是我需要的我是否遗漏了某些内容或者
如何在 Laravel 中使用 Vue 路由器？

我使用 laravel9 和 vue3 进行开发我的问题很简单但是路径设置不太顺利当我访问网址时localhost 8080 tasks 此 url 返回 404 未找到我收到以下类型错误获取http localhost 8000
Z3：执行矩阵运算

我的情况我正在开展一个项目需要证明正确性3D 矩阵变换 http rodrigo silveira com 3d programming transformation matrix tutorial UU65YicWsYZ涉及矩阵运算
lxml.etree 和 xml.etree.ElementTree 添加没有前缀的命名空间（ns0、ns1 等）

有没有任何解决方案可以添加不带前缀的命名空间我的意思是这些 ns0 ns1 它适用于所有 etree 实现或者每个都有可行的解决方案目前我有以下解决方案 lxml 元素的 nsmap 参数 c 元素树 python 2 6 以空字符串
在 Crystal Reports 中，如何计算“详细信息”部分中的所有行并将该计数放入标题中？

我尝试添加新公式并使用以下代码 whileprintingrecords numbervar x x x 1 问题是如果我将显示计数的公式放在标题部分它只会显示第一个值因为它尚未增加我需要每个页面中的总行数然后将其显示在标题中我
R中特定小时和月份的数据框中的平均值

我一直在网上搜索但还没有找到解决这个可能很简单的问题的方法这是使用库 xts 的半小时数据 library xts data xts lt as xts 1 nrow data as POSIXct 2007 08 24 17 30 0
如何有条件地将文件包含在 Sphinx 'toctree' 中？ [复制]

这个问题在这里已经有答案了我想仅在设置了某个标签时才将我的文件之一包含在 Sphinx TOC 中但是明显的方法失败了 toctree maxdepth 5 index core utils oec plotting install n
如何从 POSIXct 对象获取原点

我有一个像这样的函数 foo function time in code here that changes POSIXct to numeric time out as POSIXct time in origin 1970 01 01
如何使用 NewtonSoft JsonConvert 反序列化名称中带有破折号（“-”）的属性？

我们有一个 JSON 对象其中一个对象的名称中带有破折号例如下面 veg id 3 name Vegetables count 25 id 4 name Dal count 2 id 5 name Rice count 8
在 Python 中使用“try”与“if”

是否有理由决定哪一个try or if在测试变量是否有值时要使用的构造例如有一个函数要么返回列表要么不返回值我想在处理之前检查结果以下哪一项更可取为什么 result function if result for r in re
设备上有 7 条推送通知，而不是 1 条

从这些图像中您可以看到它发出了 7 条通知我不想要这个这是我的代码 public class Application extends android app Application public Application Overrid
Prolog 实现 and/2、or/2、nand/2、nor/2、xor/2 [关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案我想在序言中实现以下谓词并将它们用于真值表 and 2 or 2 nand 2 nor 2 xor 2 也许有人可以告诉我如何实现和
编写 AMD64 SysV 程序集时使用哪些寄存器作为临时寄存器？

我正在使用实现一个功能cpuid根据 AMD64 SysV ABI 进行组装我需要在函数本身中使用 2 个临时寄存器第一个用于累积返回值第二个用作计数器我的功能目前如下所示 zero argument function some c
如何使用java按上次更新时间对SFTP文件进行排序？

I am having a set of text files in my FTP server 我想阅读今天之前上传的所有文件其中我必须打印最后三个上传文件的属性名称上传时间大小现在我将能够打印 FTP 服务器中存在的文件的名称
清理 AntiXSS v3 输出中的 html 编码文本（#decimal notation）

我想在 XSS 安全的博客引擎中发表评论尝试了很多不同的方法但发现非常困难当我显示评论时我首先使用微软AntiXss 3 0 http www codeplex com AntiXSS对整个内容进行 html 编码然后我尝试使用白

清理 AntiXSS v3 输出中的 html 编码文本（#decimal notation）

清理 AntiXSS v3 输出中的 html 编码文本（#decimal notation） 的相关文章

随机推荐

热门标签

清理 AntiXSS v3 输出中的 html 编码文本（#decimal notation）的相关文章