XSSを防ぐためにHTML入力を検証するにはどうすればよいですか？例えば、StackExchangeは、HTMLのサブセットを

Question

をホワイトリスト： https://meta.stackexchange.com/questions/1777/what-html-tags-are-allowed-on-stack-exchange-sites

あなたはどのように行うことができ、あなたのコントローラにユーザ入力が安全であることを確認すること？

Answer 1

このアプローチはStackExchangeと同じではありませんが、私は簡単な方法でAntiXSS 4.xライブラリに「安全な」HTMLを許可する入力をサニタイズすることができました。

http://www.microsoft.com/en-us/download/details.aspx?id=28589ここでバージョンをダウンロードできますが、便利なDOCXファイルにリンクしています。私の推奨する方法は、NuGetパッケージマネージャを使用して最新のAntiXSSパッケージを入手することです。

4.x AntiXssライブラリにあるHtmlSanitizationLibraryアセンブリを使用できます。 GetSafeHtml（）は、Microsoft.Security.Application.SanitizerのHtmlSanitizationLibraryにあります。

content = Sanitizer.GetSafeHtml(userInput); 

これは、データベースに保存する前に行うことができます。利点は、すぐに悪質なコンテンツを削除し、出力するときにそれを心配する必要がないことです。欠点は、既存のデータベースコンテンツを処理しないため、データベースの更新を行うたびにこれを適用する必要があることです。

代わりに、コンテンツを出力するたびにこのメソッドを使用する方法があります。

私は好みのアプローチが何であるか聞いてみたいと思います。

Answer 2

JSoupパーサを試すことができます。これは、HTML入力をサニタイズすると同時に、多くの機能を提供します。 JSoupの詳細についてはhttp://jsoup.org/にアクセスし、そこからバイナリをダウンロードすることができます。 これは、HTMLツリーをたどって目的の要素を取得するDOMメソッドを提供します。

XSS攻撃を防ぐためにHTMLで生成されたコードをサニタイズするのは良い方法ですが、HTML入力をサニタイズすることでXSSアタッチを避けるためにパーサーを使用しないことを強く推奨します。 あなたのHTMLツリーが非常に大きい場合、応答時間はマニフォールドを増加させるでしょう。あなたのHTMLツリーのサニタイズに必要なのは、FORMに入力しているユーザが適切であり、期待値通りであることを確認する必要があります。

www.owasp.orgにアクセスして、XSS攻撃を回避する方法を詳しく知ることができます。このサイトでは、HTMLツリーにXSS攻撃がないようにチートシートを提供しています。

Answer 3

ASP.NET HttpUtility.Htmlencode（）がそれを実現します。 危険なスクリプトをブロックしたい場合は、まずをデータベースに挿入しないでください。まず、データベースに挿入する前にHTMLテキストを消去します。

私はあなたのためにそれを行うクラスを見つけました：http://eksith.wordpress.com/2012/02/13/antixss-4-2-breaks-everything/

それが正常に動作し、消毒のカスタムホワイトリストに新しいタグや属性を追加することができます。

注：Microsoft SanitizerおよびAnti-XSSライブラリは、私にとっては役に立ちませんでした。あなたも試してみてください。