Есть ли библиотека или приемлемый метод для очистки ввода на html-странице?
В этом случае у меня есть форма только с именем, номером телефона и адресом электронной почты.
Код должен быть C#.
Например:
"<script src='bobs.js'>John Doe</script>" должно стать "John Doe"
Мы используем библиотеку .Net HtmlSanitizer, которая:
Также на NuGet.
Основываясь на комментарии, который вы сделали к этому ответу, вы можете найти полезную информацию в этом вопросе:
https://stackoverflow.com/questions/72394/what-should-a-developer-know-передсозданиемобщедоступноговеб-сайта
Вот пример параметризованного запроса. Вместо этого:
string sql = "UPDATE UserRecord SET FirstName='" + txtFirstName.Text + "' WHERE UserID=" + UserID;
Сделай это:
SqlCommand cmd = new SqlCommand("UPDATE UserRecord SET FirstName= @FirstName WHERE UserID= @UserID");
cmd.Parameters.Add("@FirstName", SqlDbType.VarChar, 50).Value = txtFirstName.Text;
cmd.Parameters.Add("@UserID", SqlDbType.Integer).Value = UserID;
Изменить: поскольку инъекции не было, я удалил часть ответа, касающуюся этого. Я оставил пример базового параметризованного запроса, так как он может быть полезен всем, кто читает вопрос.
--Joel
Если под очисткой вы подразумеваете полное УДАЛЕНИЕ тегов, пример RegEx, на который ссылается Брайант, — это тип решения, которое вам нужно.
Если вы просто хотите убедиться, что код НЕ мешает вашему дизайну и не отображается пользователю. Вы можете использовать метод HttpUtility.HtmlEncode, чтобы предотвратить это!
<a href="javascript:alert('Evil')">Click me</a>, и это только вершина айсберга. Вывод пользовательского ввода, закодированного в формате HTML, является верным подходом к рендерингу безопасного HTML.
- person Jeremy Cook; 04.10.2013
Как насчет использования библиотеки Microsoft Anti-Cross Site Scripting Library?
Похоже, у вас есть пользователи, которые отправляют контент, но вы не можете им полностью доверять, и все же хотите отображать контент, который они предоставляют, как супер безопасный HTML. Вот три метода: HTML-кодирование всего, HTML-кодирование и/или удаление только плохих частей или использование DSL, который компилируется в HTML, который вам удобен.
Должен ли он стать "Джон Доу"? Я бы HTML закодируйте эту строку и позвольте пользователю "John Doe" (если это действительно его настоящее имя...) иметь глупое имя <script src='bobs.js'>John Doe</script>. Он вообще не должен заключать свое имя в теги сценария или любые другие теги. Это подход, который я использую во всех случаях, если нет действительно хорошего экономического обоснования для одного из других методов.
Принимать HTML от пользователя, а затем очищать его (на выходе), используя подход с использованием белого списка, такой как метод дезинфекции @Bryant упомянул. Сделать это правильно (чрезвычайно) сложно, и я откладываю это на более высокие умы. Обратите внимание, что некоторые дезинфицирующие средства будут кодировать в HTML зло, в то время как другие полностью удалили бы оскорбительные биты.
Другой подход заключается в использовании DSL, который "компилируется" в HTML. Убедитесь, что ваш компилятор DSL whitehat, потому что некоторые (например, MarkdownSharp) позволит использовать произвольный HTML, например теги <script>, и вредоносные атрибуты в незакодированном виде (что, кстати, вполне разумно, но может не соответствовать вы нуждаетесь или ожидаете). Если это так, вам нужно будет использовать метод № 2 и очистить то, что выводит ваш компилятор.
Заключительные мысли:
