.NET 中具有特定 src 属性值的 IFrame 的反 XSS 清理
我希望完成以下任务:使用 AntiXSS 或 AntiSamy 库清理 WYSIWIG 用户输入,但是,允许具有来自特定域的“src”属性的 iframe 标签。有办法做到这一点吗?
我正在考虑用正则表达式以某种方式解析它,并将其替换为类似 {{iframe-begin}} 标记的“< iframe”,然后在控制器逻辑中将其替换为“
谢谢。
I'm looking to accomplish the following: sanitize WYSIWIG user-input using either AntiXSS or AntiSamy libraries, however, allow iframe tags which have "src" attribute from particular domains. Is there a way to accomplish this?
I was thinking about parsing it up with Regex somehow and swapping it out "< iframe" for something like {{iframe-begin}} tag and later on swapping it out in the controller logic with "
Thank you.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
![扫码二维码加入Web技术交流群](/public/img/jiaqun_03.jpg)
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
我还想为我的 WYSISWIG 编辑器之一进行一些 HTML 清理。
一种方法是使用
Microsoft 反跨站脚本库
。 http://msdn.microsoft.com/en-us/library/aa973813.aspx另一种方法是为 HTML 创建一个白名单解析器。
这是我与
HTML Agility Pack
一起使用的,您可以使用标签和允许的属性配置白名单:public static class HtmlSanitizer
{
私有静态只读 IDictionary 白名单;
私有静态列表DeletableNodesXpath = new List();
I also wanted to do some HTML sanitization for one of my WYSISWIG editors.
One aproach is to use the
Microsoft Anti-Cross Site Scripting Library
. http://msdn.microsoft.com/en-us/library/aa973813.aspxAnother is to create a whitelist parser for HTML.
Here is what I used along with
HTML Agility Pack
, you can configure the whitelist with tags and allowed atributes:public static class HtmlSanitizer
{
private static readonly IDictionary Whitelist;
private static List DeletableNodesXpath = new List();