.NET HTML 白名单（反 xss/跨站脚本）

Question

我遇到过一种常见情况，即我获得使用 HTML 子集的用户输入（使用tinyMCE 输入）。 我需要一些针对 XSS 攻击的服务器端保护，并且正在寻找人们用来执行此操作的经过良好测试的工具。 在 PHP 方面，我看到很多像 HTMLPurifier 这样的库可以完成这项工作，但我似乎在 .NET 中找不到任何东西。

我基本上是在寻找一个库来过滤标签白名单、这些标签上的属性，并使用 a:href 和 img:src 等“困难”属性做正确的事情

我已经在 http://refactormycode.com/codes/333-sanitize-html，但我不知道它是如何最新的。 它与网站当前使用的内容有任何关系吗？ 无论如何，我不确定我是否对尝试用正则表达式输出有效输入的策略感到满意。

这篇博客文章列出了似乎更引人注目的策略：

http://blog.bvsoftware.com/post/2009/01/08/How-to-filter-Html- Input-to-Prevent-Cross-Site-Scripting-but-Still-Allow-Design.aspx

此方法实际上是将 HTML 解析为 DOM，对其进行验证，然后从中重建有效的 HTML。 如果 HTML 解析可以合理地处理格式错误的 HTML，那就太好了。 如果没有，也没什么大不了的——我可以要求格式良好的 HTML，因为用户应该使用tinyMCE 编辑器。 无论哪种情况，我都会重写我所知道的安全、格式良好的 HTML。

问题是这只是一个描述，没有指向实际执行该算法的任何库的链接。

这样的图书馆存在吗？ 如果没有，什么是好的 .NET HTML 解析引擎？ 应该使用什么正则表达式来执行额外的验证 a:href, img:src？ 我在这里错过了其他重要的事情吗？

我不想在这里重新安装越野车轮子。 当然有一些常用的库。 有任何想法吗？

Answer 1

好吧，如果您想要解析，并且担心传入无效的 (x)HTML，那么 HTML Agility Pack< /a> 可能是用于解析的最佳选择。 请记住，虽然它不仅仅是元素，还需要允许元素上的属性（当然，您应该使用允许的元素及其属性的白名单，而不是尝试通过黑名单删除可能不可靠的内容）

还有OWASP AntiSamy 项目 这是一项正在进行的工作 - 他们还有您可以尝试使用 XSS

正则表达式，因为在我看来这可能风险太大。

Answer 2

Microsoft 有一个开源库来防御 XSS：AntiXSS。

Answer 3

http://www.microsoft.com/en-us/download /details.aspx?id=28589
您可以在此处下载一个版本，但我将其链接到有用的 DOCX 文件。 我的首选方法是使用 NuGet 包管理器来获取最新的 AntiXSS 包。

您可以使用 4.x AntiXss 库中的 HtmlSanitizationLibrary 程序集。 请注意，GetSafeHtml() 位于 HtmlSanitizationLibrary 中的 Microsoft.Security.Application.Sanitizer 下。

Answer 4

我们正在使用 HtmlSanitizer .Net 库，该库：

• 开源 得到
• 积极维护
• 没有Microsoft Anti-XSS 库等问题，
• 是否经过单元测试
  OWASP XSS Filter Evasion Cheat Sheet
• 是专门为此构建的（与 HTML 不同） Agility Pack，它是一个解析器）

也在 NuGet 上

Answer 5

https://github.com/Vereyon/HtmlRuleSanitizer 完全解决了这个问题。

在将 wysihtml5 编辑器集成到 ASP.NET MVC 应用程序中时，我遇到了这个挑战。 我注意到它有一个非常漂亮但简单的基于白名单的清理程序，它使用规则来允许 HTML 子集通过。 我实现了它的服务器端版本，它依赖于 HtmlAgility 包进行解析。

Microsoft Web Protection Library（以前的 AntiXSS）似乎简单地删除了几乎所有 HTML 标签，从我读到的内容来看，您无法轻松地根据您想要使用的 HTML 子集定制规则。 所以这对我来说不是一个选择。

这个 HTML sanitizer 看起来也很有前途，将是我的第二选择。

Answer 6

几年前，当我使用 TinyMCE 时，我遇到了完全相同的问题。

.Net 似乎仍然没有任何像样的 XSS/HTML 白名单解决方案，因此我上传了我创建并使用了几年的解决方案。

http://www.codeproject.com/KB/aspnet/html- white-listing.aspx

白名单定义基于TinyMCE的有效元素。

取二：
环顾四周，微软最近发布了基于白名单的Anti-XSS Library（V3.0），看看：

微软反交叉网站
脚本库V3.0（防XSS V3.0）
是一个编码库，旨在
帮助开发人员保护他们的 ASP.NET
来自 XSS 的基于 Web 的应用程序
攻击。 它与大多数编码不同
库，因为它使用
白名单技术——有时
称为原则
内含物——提供保护
抵御XSS攻击。 这种方法
首先定义一个有效的或
允许的字符集，以及
编码此集合之外的任何内容
（无效字符或潜在的
攻击）。 白名单方法
与其他产品相比具有多种优势
编码方案。 此中的新功能
微软反交叉版本
站点脚本库包括： -
扩展白名单，支持更多
语言 - 性能改进 -
性能数据表（在线
help) - 支持 Shift_JIS 编码
适用于移动浏览器 - 示例
应用程序 - 安全运行时引擎
(SRE) HTTP 模块