个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
32
4
我已经在我的 asp.net Web 应用程序中添加了一个 Htmleditorextender ajax 控件,并在其中放入了 XSS sanitizer 以实现 XSS 安全,但是现在当我从 Htmleditorextender 检索文本时,sanitizer 会从中删除 HTML5
并且所有输入都来自在一个单一的。我在互联网上搜索,发现发生这种情况是因为 XSS sanitizer 将 HTML5 标签识别为未知的不安全标签,这就是为什么所有 HTML5 标签都从 htmleditorextender 的格式化 HTML 中删除的原因,现在我通过设置 EnableSanitization="false"来使用 htmleditorextender
Should我从我的项目中删除了 XSS sanitizer ,否则我应该选择
但这两个都没有配置为图像上传,用户可以添加自己的第三方图像 uploader 。
请告诉我如何防止我的网站受到 XSS 攻击而不丢失 htmleditorextender 中格式化的 html 标签。
最佳答案
您是否知道出于这个原因,最新的 HtmlEditorExtender 提供了替代 sanitizer ?它称为 HtmlAgilityPackSanitizerProvider。如果您使用 Nuget 下载,不确定是否包含该文件,但如果您从 CodePlex 下载 zip,它会包含一个名为“SanitizerProviders”的文件夹,其中包含备用 sanitizer 所需的 dll。然后,您可以在配置文件中指定备用清理程序(包含在下载中)。
这里是 Stephen Walther 博客的链接,他在其中解释了这一点: http://stephenwalther.com/archive/2012/06/25/announcing-the-june-2012-release-of-the-ajax-control-toolkit.aspx
我不确定这是否能解决您的问题,或者是否可以选择更新到最新的工具包,但您没有提到尝试一下,所以听起来值得一试。
关于asp.net - 我如何防止 AntiXSS Sanitizer 从 AjaxControlToolkit HtmlEditorExtender 生成的 html 中删除 html5 <br> 标记,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11398824/
32
4
0
谁能告诉我这两者的区别?AntiXss.HtmlEncode() 对比 AntiXss.GetSafeHtmlFragment() 最佳答案 HtmlEcode 实际上编码标签: AntiXss.Ht
使用 AntiXss.HtmlEncode 清理我的字段后,有没有办法删除所有 html 元素,因为它们仍然在显示中显示为文字? 最佳答案 不,没有。如果您想删除 HTML 元素,然后对结果进行 Ht
我的公司要求我们的 ASP.NET 代码在发布代码之前通过 Fortify 360 扫描。我们到处都使用 AntiXSS 来清理 HTML 输出。我们还验证输入。不幸的是,他们最近更改了 Fortif
我想在我的网络应用程序中使用 AntiXss 库函数。我有一个 Web 应用程序,其中包含代码隐藏的 Jquery 代码的 asp.net 页面。整个 asp.net 页面通过 Jquery js 页
HttpUtility 类提供编码和解码。但是,当我使用 MS AntiXSS 3.1 库时,我有一套仅用于编码的方法,这是否意味着可以避免解码? 例如 在应用 AntiXSS 之前: lblName
当您可以使用HttpUtility.HtmlEncode简单地对数据进行编码时,我们为什么要使用AntiXss.HtmlEncode? 为什么白名单方法比黑名单方法更好? 另外,在Anti XSS库中
我一直在使用Microsoft's AntiXss Library并想知道其 JavaScriptEncode 方法是否有充分的理由将结果用单引号括起来?这种行为似乎不合常规。 最佳答案 实际上新的3
我有一个简单的论坛应用程序,当有人发布任何内容时,我会: post.Content = Sanitizer.GetSafeHtml(post.Content); 现在,我不确定我是否做错了什么,或者发
我看到网络保护库 (WPL) 带有 2 个不同的选项: 安全运行时引擎 (SRE) 反 XSS 库 第一个看起来很棒,因为不需要代码,它是一个 HTTPModule。第二种需要在代码中手动添加转义逻辑
在我看来,仅使用 html 敏捷包就可以防止 xss(解析然后获取内部文本)。用了hap再用antixss会不会重复? 谢谢,杆。 最佳答案 苹果和橙子。 HTML Agility Pack 是一种解
我想使用新版本的AntiXss来自微软的图书馆。我从 Nuget 包下载了它,但我不确定我应该从这里去哪里。该库没有提供文档,我在网上找到的所有文章都是旧的。由于发生了很多变化,几乎所有我想使用的东西
为什么未使用 Microsoft AntiXSS 清理未关闭的 html 标记? string untrustedHtml = ""; string trustedHtml = AntiXSS.San
这是一个以前被问过的问题,但我没有找到我正在寻找的信息,或者我可能只是错过了这一点,所以请耐心等待。如果我问错了,我总是可以调整我的问题。 例如,如果我有一个 POST 端点,它使用具有 2 个属性(
所以我花了将近 30 分钟寻找 AntiXSS 4.2.1 说明(Microsoft 文档已经过时)并且找不到任何.. 我发现在旧版本中,他们使用,但那已经过时了。 AntiXss.HtmlEncod
Microsoft Web Protection Library (AntiXSS)已达到生命的尽头。该页面指出“在 .NET 4.0 中,框架中包含一个版本的 AntiXSS,可以通过配置启用。在
我不知道我这样做是否正确。 我第一次构建一些东西来防止对页面的攻击。我将从底部开始: 我有属性(property): public string Description {get;set;} 用户可以
我正在使用 AntiXssLibrary 4.0 但它没有转义\x3c。我的错误是什么? 我已根据此处 http://haacked.com/archive/2010/04/06/using-anti
我刚开始使用 AntiXSS (4.3.0),主要是为了使用 @Encoder.JavaScriptEncode如所述here . 我从 Nuget 安装了 AntiXSS,然后添加了 encoder
现在我正在学习网络安全、XSS 等。因为 XSS 基本上是通过注入(inject)一些恶意代码来针对客户端代理(网络浏览器),这些恶意代码由经过身份验证的用户插入时由网络浏览器执行。现在的问题是为什么
我已经阅读了很多关于 XSS 和如何处理的关于 SO 的帖子。通常,共识是白名单而不是黑名单,避免使用正则表达式(太多变体无法处理)。 我正在开发一个 ASP.Net MVC3 应用程序。我需要能够显
我是一名优秀的程序员,十分优秀!