在 ASP.NET 上构建 Wikipedia(学习练习)。如何清理不受信任的数据,但保持格式化?

发布于 2024-09-14 18:55:36 字数 334 浏览 12 评论 0原文

我想让最终用户能够将 HTML 保存到我的后端存储中。由于此功能很容易导致 SQL 注入以及大量其他问题,因此有人知道有一个服务器端库可以清理输入,以便仅可以使用 HTML 的“安全”部分吗?

我想避免的一些事情:

  • 对象标记 使用
  • JavaScript 使用
  • Windows“样式”弹出框(例如您的 PC 感染了病毒)
  • CSS 带有 Javascript 操作
  • 来自外部站点的内联数据

因为有 100% 的保证我没有想出用户可能恶意使用此功能的所有方法,我想了解我必须使用哪些选项来清理数据,但保留基本格式

I want to give end users the ability to save HTML to my backend store. Since this feature could easily cause SQL Injection, and loads of other issues, does anyone know of a server side library that will clean the input so only the "safe" parts of HTML can be used?

Some things I'd like to avoid:

  • Object Tag use
  • JavaScript use
  • Windows "style" pop-up boxes (such as your PC is infected with a virus)
  • CSS with a Javascript action
  • inline data from external sites

Since there is a 100% guarantee that I didn't come up with all the ways a user could be malicious with this feature, I'd like to learn what options I have to clean the data, but preserve basic formatting

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

佼人 2024-09-21 18:55:36

考虑使用 Microsoft AntiXSS 库清理用户输入。

Consider sanitizing user input with the Microsoft AntiXSS library.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文