C# 确保客户端在服务器端提交的Html的安全性
我有一个MVC3Web应用程序项目,我使用一个页面允许用户输入格式化文本 当控制器接收到数据时,数据是html格式的。。。完美的NicEdit本身不允许在元素中直接输入脚本标记和onFoo事件,但是一个恶意用户可以强制脚本进入,这是不安全的C# 确保客户端在服务器端提交的Html的安全性,c#,asp.net-mvc-3,html-parsing,C#,Asp.net Mvc 3,Html Parsing,我有一个MVC3Web应用程序项目,我使用一个页面允许用户输入格式化文本 当控制器接收到数据时,数据是html格式的。。。完美的NicEdit本身不允许在元素中直接输入脚本标记和onFoo事件,但是一个恶意用户可以强制脚本进入,这是不安全的 如何确保传入数据的安全性。。。去掉脚本标记,查找并删除onXyz事件。。。还有什么 还有,最简单的方法是什么?我应该使用,或者在某个地方有一个简单的函数,它可以通过一个简单的调用完成所有的工作 注意:仅对整个字符串进行编码不是有效的解决方案。我想要的是一种
string input = ...
string safeOutput = AntiXss.GetSafeHtmlFragment(input);
你可以用图书馆。危险的脚本将被删除:
string input = ...
string safeOutput = AntiXss.GetSafeHtmlFragment(input);