个人中心
gpt4 book ai didi

c# - 如何防止阿拉伯字符被AntiXssEncoder重新编码?

转载 作者:太空狗 更新时间:2023-10-29 21:59:59 24 4
gpt4 key购买 nike

我们在应用程序中使用 .NET Framework(我们以 .NET Framework 4.5.2 为目标)提供的 System.Web.Security.AntiXss.AntiXssEncoder 类,但遇到包含阿拉伯字符的字段的问题。

以下控制台应用程序演示了我们遇到的问题:

using System;
using System.Collections.Generic;
using System.Web.Security.AntiXss;

namespace EncodingTest
{
    class Program
    {
        static void Main(string[] args)
        {
            var source = new List<string> { "Hello World", "على", "blöd", "&#1575;&#1604;&#1605;" };

            foreach (var testString in source)
            {
                var antiXssEncoded = AntiXssEncoder.HtmlEncode(testString, false);
                Console.WriteLine($"{testString} => {antiXssEncoded}");

                Console.WriteLine();
            }

            Console.ReadKey();
        }
    }
}

第二个列表项中的阿拉伯字符已正确编码,但如果第四个元素中已编码的字符通过编码器传递,则 '&' 字符将再次编码为 & 然后无法在网页上正确显示。

应用程序的输出显示了这一点(未编码的阿拉伯字符在控制台中显示为“???”):

Hello World => Hello World

??? => &#1593;&#1604;&#1609;

blöd => blöd

&#1575;&#1604;&#1605; => &amp;#1575;&amp;#1604;&amp;#1605;

有什么办法可以避免这种情况吗?

我们目前接受用户输入并通过编码器传递,然后将其保存在我们的数据库中 - 然后将此编码数据发送到前端并显示。如果用户编辑字符串并将其传递回我们的后端,我们会在保存之前再次对其进行编码,因此我们会遇到与符号有关的问题。

我看到一些关于其他问题的评论说用户输入应该在输入时保存在数据库中,然后在发送显示之前通过编码器传递;我们可以这样做,但是必须确保在数据输出的所有不同位置都对其进行了编码。这也无助于解决从前端返回的已编辑数据的问题——我们仍然不知道数据是否经过编码,只会在下次发送显示时重新编码。

有没有什么方法可以让编码器不把像ا这样的字符重新编码成&#1575;,或者我们只是做错了什么?

最佳答案

这是预期的行为,您不应试图阻止它。

传递给 HtmlEncode 的字符串通常由您的程序的用户提供,并且最终应该以传递给该方法的确切方式出现在 HTML 中。这意味着所有 & (和类似情况)都需要编码。例如。如果用户输入类似 "use '&'在 HTML 中表示 '&'” 您真的不会期望 在呈现的 HTML 中“使用 '&' 在 HTML 中表示 '&'”

如何解决问题:

您确实必须知道您正在使用的字符串内容的编码是什么。绝对没有办法知道字符串是否经过 HTML 编码或编码了多少次。这同样适用于 url 编码(也称为 % 编码,如 ?q=search%20alot)和 JavaScript 字符串值编码(如 I said\"Hi Matt\"\nin这是一篇冗长而冗长的文章)。

这意味着您要么需要存储具有一致编码的字符串,要么存储应用于字符串的编码类型以及每个字符串(即数据库中的下一列)。以下是我将用于不同情况的描述:“这是纯文本,未编码”,“这是准备呈现 HTML,已清理”,“这是用户提供的原始 HTML,未清理”,“这是编码为 JavaScript 字符串的纯文本(使用 \n)”。

将字符串错误分类为“准备呈现 HTML,不要 HtmlEncode”的危险很大 - 您可以轻松地将恶意用户的输入呈现为 HTML 并导致跨站点脚本 (XSS) 漏洞。您获得的过度编码行为更安全,也可能产生无用的输出 - 因此要求字符串数据带有定义明确的编码。

请注意,HtmlEncode 方法的常见用法是最终将其呈现为原始 HTML - 根据您使用的框架,可能有更好的方法来处理它。如果您使用的是 ASP.Net MVC,则常规 @Model.Text 将提供所有必要的编码。

作为指定编码的方法之一,您可以使用 HtmlString类来声明“字符串值表示可以按原样安全地在 HTML 中呈现的原始 HTML”。将 HtmlEncode 的输出存储在 HtmlString 类型的变量/属性中可能是个好主意,这样每个人都知道该值已被清理并应直接呈现。

关于c# - 如何防止阿拉伯字符被AntiXssEncoder重新编码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45193923/

24 4 0
文章推荐: c# - AddDbContext 在 .NET Core 的 IServiceCollection 中不可用
文章推荐: java - 可缩放剪贴蒙版
文章推荐: python - Py2exe 在我拥有 dll 时提示缺少它们?
文章推荐: c# - 尝试使用 Entity Framework 更新时,数据库中已经有一个名为 'AspNetRoles' 的对象
太空狗
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com