将 HTML 存储在数据库中，同时避免持久的 xss/sql 注入

Question

我正在 asp.net 中构建一个页面，该页面将使用 tiny mce 在页面上提供富文本编辑器。 Tiny mce 将富文本输出为 html，我想将其保存到数据库中。然后稍后，我想从数据库中提取 HTML 并将其显示在页面中。

我担心允许恶意 html、js 标签进入我的数据库，这些标签稍后会被输出。

有人可以指导我在流程中的哪个点应该进行 html 编码/解码等以防止持久的 xss 攻击和/或 sql 注入攻击吗？

Answer 1

我们使用 Microsoft Web Protection Library 来清除传入的任何潜在危险的 HTML。我的意思是“在途中” - 当页面发布到服务器时，我们使用 MS WPL 清理 HTML 并获取结果并将其放入数据库中。甚至不要让任何不良数据进入您的数据库，这样您就会更安全。就编码而言，您不想弄乱 HTML 编码/解码 - 只需获取tinyMCE 控件中的所有内容，擦洗并保存即可。然后在你的显示页面上，只需将它写出来，就像它存在于数据库中一样，写入文字控件或类似的东西，你应该就可以了。

我相信 Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment(input) 会完全满足您的需求。

Answer 2

这些管理员是否正在使用 RTE？如果是这样，我就不会担心了。

如果没有，那么我不建议使用所见即所得的工具，例如TinyMCE。您必须实际查找恶意输入，并且很可能您会错过一些。由于 RTE 输出纯 HTML（我假设您想要），因此您不能只转换 HTML 实体。这会消除使用 TinyMCE 的全部意义。

当将数据插入数据库时​​，停止 SQL 注入是在后端完成的。您将需要使用参数化查询或转义输入（不知道在 ASP.NET 中如何，我是 PHP 人员。）

Answer 3

难道您不能使用使用 BBCode 的富文本编辑器并在服务器上转义所有需要转义的内容，然后将 BBCode 转换为 HTML 标记吗？

您还可以不在客户端上生成 BBCode，而是在服务器上将 HTML 标记转换为 BBCode，转义剩余的 HTML，并将结果从 BBCode 转换回 HTML。

Answer 4

有两种方法，您可能会使用第一种方法

1) 您将列出允许的标签并转义/剥离其余标签。 TinyMCE 可能有一些功能禁止用户使用某些标签..（vut 这只是客户端，您应该在服务器上验证它）

2）您将以不同的方式对允许的标签进行编码（[b]bold[/b]），而不是您可以将所有内容保存到数据库，并在渲染时转义所有内容，然后解释您的特殊标签

第三种方法：如果用户是管理员（应该知道他在做什么的人），那么您可以留下所有内容而不转义...他是负责的一个是为了自己的错误......