HttpUtility.HtmlEncode 安全吗？

Question

我希望用户输入文本，并且我想将文本显示给用户并保留所有空格。我不希望任何漏洞利用并让用户注入 html 或 javascript。 HttpUtility.HtmlEncode 使用起来是否足够安全？ ATM 它看起来正确，因为它正确编码 < > 和其他测试字母。要正确显示文本，我该使用什么？现在我正在使用

。看起来不错，这是正确的显示方式吗？

Answer 1

HtmlEncode 对于任何 HTML 代码或 JavaScript 来说都应该是安全的。所有 HTML 标记字符都将被编码，以便它们在网页上显示时仅显示为其他字符。

是的，如果我想保持格式（包括所有空格），我会使用

。

Answer 2

您需要查看 Web 保护库 的 AntiXSS 部分中的 GetSafeHTMLFragment 方法。这使用了一个白名单，其中的 HTML 被认为是“安全”的，用于 XSS 目的，任何不在白名单中的内容都会被删除。 Blowdart（在 WPL 团队工作）有一个很棒的关于使用该方法的博客文章。