Как безопасно вывести пользовательский html в asp mvc?

Question

[alesto]

Есть некий проект на котором пользователи вводят html используя wysiwyg , затем этот html нужно отобразить пользователям. Как правильно отчистить html от xss, флеша айфреймов, javascript и не закрытых тегов?

Answer 1

[Дмитрий Ковальский]

При такой постановке задачи - вам важнее контролировать ВВОД данных, а не ВЫВОД. В библиотеках ASP.NET , насколько мне известно, нет методов типа .RemovePotentialIssuesFromHtml() - соответственно определите что пользователь может вводить, а что не может. Их и удаляйте при сохранении, или уведомите клиента о том что он ввел потенциально опасные конструкции.

Comments

[alesto]

Разницы никакой нет, что сохранять безопасный вариант в базу, что фильтровать при выводе. Главное как это сделать. Спасибо за ответ.

[Дмитрий Ковальский]

alesto: Разницы нет?? Шутите чтоли... За каким чертом вы будете сохранять всякий мусор, если планируете постоянно его выковыривать в последствии при выводе? Одно дело когда вы хотите экранировать эти элементы и выводить, но вы вроде хотите удалять.

Answer 2

[Николай Мохов]

Можно использовать библиотеку HtmlSanitizer
https://github.com/mganss/HtmlSanitizer
Она поможет Вам удалить небезопасные HTML теги.

Если же Вы не хотите удалять введенные пользователями теги то для поля поставьте атрибут AllowHtmlAttribute

public class BlogEntry {
    public int UserId {get;set;}
    [AllowHtml] 
    public string BlogText {get;set;}
 }

А при выводе на форму кодируйте значение например с помощью AntiXssEncoder
https://msdn.microsoft.com/ru-ru/library/system.we...
www.codeguru.com/csharp/.net/net_asp/preventing-cr...
Или кодируйте с помощью JS
weblogs.asp.net/jongalloway/preventing-javascript-...