如何保护用户输入中的字符串

Question

我们有一个网站，用户可以有理由拒绝其他用户的某些内容。原因会通过电子邮件发送给其他用户。

可以向其他用户发送哪些字符？ 我不会对不需要的字符进行正则表达式搜索，而只想在原因中保留“潜在”“安全”字符。

例如，原因：

"Hello <b>Dear User B"

将转换为：

"Hello bDear User B"

目前我只是在 char 数组上执行“Where”，并通过

char.IsLetterOrDigit || char.IsPunctuation || char.IsWhiteSpace

是否有更好的技术来定义我的“安全”条件？

Answer 1

您完全可以在电子邮件正文中使用 HTML。这将允许更漂亮的格式。在通过电子邮件发送用户输入之前，您可以在用户输入上使用 AntiXSS 库，以过滤掉 HTML 中的危险内容（例如

Answer 2

您可以尝试在 C# 中使用 HttpEncoder 类，并在字符串上使用 htmlEncode 方法。
这将使所有 < >转换为相当于 < 的 html等等。返回一个安全字符串。

尽管它看起来会很丑，所有的<<以及电子邮件中类似的内容，您可以将其视为一种潜在的安全解决方法。

如果您也将注释插入数据库，我不建议使用此方法，因为它不是 sql 注入证明。在这种情况下，您可以使用 htmlencode 发送电子邮件并使用参数插入数据库。

Answer 3

如果您认为 ascii 值 32 到 126 的字符对您来说是安全的，那么您可以使用

bool bad = value.Any(c => c < 32 || c > 126);