C# 为什么MS anti-xss库（v4）会删除HTML5数据属性_C#_Html_Security_Antixsslibrary

C# 为什么MS anti-xss库（v4）会删除HTML5数据属性

c# html security

C# 为什么MS anti-xss库（v4）会删除HTML5数据属性,c#,html,security,antixsslibrary,C#,Html,Security,Antixsslibrary,AntiXss库似乎去掉了HTML5数据属性，有人知道为什么吗我需要保留此输入： <label class='ui-templatefield' data-field-name='P_Address3' data-field-type='special' contenteditable='false'>[P_Address3]</label> 编辑：下面的输入将导致删除整个样式属性输入： var input = "<p style=\"width:50px;

AntiXss库似乎去掉了HTML5数据属性，有人知道为什么吗

我需要保留此输入：

<label class='ui-templatefield' data-field-name='P_Address3' data-field-type='special' contenteditable='false'>[P_Address3]</label>

编辑：

下面的输入将导致删除整个样式属性

输入：

var input = "<p style=\"width:50px;height:10px;alert('evilman')\"/> Not sure why is is null for some wierd reason!<br><p></p>";

var input=“由于某些特殊原因，不确定为什么为空！
”；

输出：

var input = "<p style=\"\"/> Not sure why is is null for some wierd reason!<br><p></p>";

var input=“不确定为什么由于某些特殊原因is为null！
”；

这很好，如果有人在客户端乱搞我的代码，但我还需要数据属性标签才能工作

我想你指的是消毒剂，而不是编码器。它正在做它应该做的事情——它根本不理解HTML5或者不识别属性，所以它将它们剥离。通过样式可以创建XSS

恐怕也无法自定义安全列表，代码库根本不允许这样做-我知道有很多人想要这些，但需要完全重写才能支持它。

我想你指的是消毒剂，而不是编码器。它正在做它应该做的事情——它根本不理解HTML5或者不识别属性，所以它将它们剥离。通过样式可以创建XSS

恐怕也无法自定义安全列表，代码库根本不允许这样做-我知道有很多人想要这些，但需要完全重写才能支持它。

默认情况下，消毒剂只保留已知安全的内容（白名单过滤）。您可以将消毒剂配置为保留在属性中，以确保其安全。您有关于如何将属性添加到白名单的示例吗？或链接？默认情况下，消毒剂只保留已知安全的内容（白名单过滤）。您可以将消毒剂配置为保留在属性中，以确保其安全。您有关于如何将属性添加到白名单的示例吗？还是链接？也可以通过html5数据-*属性进行攻击？是的，我是说消毒剂，我可能不得不放弃这个库，因为我需要那些标签-它仍然需要去除可能的邪恶输入太多！不确定数据-*，未以任何方式对其进行评估。但是是的，如果你需要的话，我担心HTML净化位不能满足你的需要。无论如何，谢谢。。。我很感激你为图书馆所做的辛勤工作，我希望如果你对图书馆做进一步修改的话，可能会包括html5.data属性！：）还通过html5数据-*属性进行攻击？是的，我是说消毒剂，我可能不得不放弃这个库，因为我需要那些标签-它仍然需要去除可能的邪恶输入太多！不确定数据-*，未以任何方式对其进行评估。但是是的，如果你需要的话，我担心HTML净化位不能满足你的需要。无论如何，谢谢。。。我很感激你为图书馆所做的辛勤工作，我希望如果你对图书馆做进一步修改的话，可能会包括html5.data属性！：）

var input = "<p style=\"\"/> Not sure why is is null for some wierd reason!<br><p></p>";