无需 HTML 编码即可安全地呈现 HTML

Question

假设您希望允许非技术用户控制公共网站/应用程序上显示的内容。如果内容只是文本，那么您可以在显示文本时对文本进行 HTML 编码，以防止恶意脚本进入您的数据库后被执行。

当您想要将数据显示为 HTML 时（即，当通过 WYSIWYG 编辑器输入数据时），有哪些选项可以防止出现这种情况？每次我想显示数据时，是否都必须用黑名单来清理数据？

另外，假设数据已经被泄露。当 HTML 编码不可行时，我确实正在寻找限制此类攻击造成的损害的方法。

出于我的目的，该站点运行 ASP.NET MVC 3，并且我正在使用 jQuery。

Answer 1

您始终可以将元素和属性名称列入白名单，而不是列入黑名单。 .NET HTML 白名单（反 xss/跨站脚本） 讨论将 .NET 的 HTML 清理程序列入白名单。

其他选项包括将内容加载到一次性域中的 iframe 中，但这不会阻止内容执行某些类型的攻击 - 重定向到网络钓鱼页面、开始下载恶意软件、扫描本地网络、利用 XSRF 漏洞用户的凭据等