AntiXSS - 支持Html同时防止XSS攻击

 

 

跨站脚本攻击（XSS）已经不是什么新鲜的话题了，甚至不少大公司也为此吃尽苦头。最简单直接的防范方法，就是不容许任何html标签输入，对用户输入进行编码(htmlencode)。

可是若是想用户输入支持一些格式，怎么办？一种办法就是不少论坛采用的BB Code的方法。使用特定的标签代替一些格式。好比：[B]表示粗体，等等。可是，BB Code这种形式并不被普遍接受，它的表现力实在太差了，并且并非标准格式。

为了让用户的输入更具表现力，涌现了大量的Html编辑器控件，著名的有FCKEditor，FreeTextBox，Rich TextBox，Cute Editor，TinyMCE等等。好比，博客园的后台发随笔就支持Cute Editor和TinyMCE，我我的比较喜欢Cute Editor，功能强大，性能不错，并且容易定制。

使用这些Html编辑器控件的潜在危险，是用户可能会输入一些危险字符，注入到网站中，造成XSS攻击。一个最简单的输入就是：

< javascript > alert( ' xss ' ) < / javascript>

如何防止呢？大体思路有三种：
1. 正则表达式的白名单过滤机制。
2. 正则表达式的黑名单替换机制。
3. 经过DOM对象过滤白名单和黑名单的标签。

下面这个地址列举了不少这样的过滤方法：
http://refactormycode.com/codes/333-sanitize-html

不过，我试了上面连接里的一些方法，并非很好用。有一个更简单好用的东西，就是 AntiXSS，由微软推出的用于防止XSS攻击的一个类库。它的实现原理也是使用白名单机制，不过这个白名单对咱们来讲是一个黑盒，我用reflector粗略看了一下，也没找到所谓的白名单在哪里。不过，这个库确实很好用。

一个MSDN里图文并茂的使用说明： http://msdn.microsoft.com/en-us/library/aa973813.aspx

其实我用的很简单，就是 AntiXss.GetSafeHtmlFragment(html)方法，这个方法会替换掉html里的危险字符。好比：

var html  =   " <a href=\ " #\ "  onclick=\ " alert();\ " >aaaaaaaaa</a>javascript<P><IMG SRC=javascript:alert('XSS')><javascript>alert('a')</javascript><IMG src=\ " abc.jpg\ " ><IMG><P>Test</P> " ;

string  safeHtml  =   AntiXss.GetSafeHtmlFragment (html);
Console.WriteLine(safeHtml);

上面的危险内容被成功替换，返回的内容是：

< a  href ="" > aaaaaaaaa </ a > javascript
< p >< img  src ="" > alert('a') < img  src ="abc.jpg" >< img ></ p >
< p > Test </ p >

嗯，很是安全。而后，又有一个疑问了，是应该将用户的输入过滤以后写入数据库呢？仍是在输出界面显示的时候进行过滤？其实，一般来说，在输出界面显示的时候进行过滤就够了，将用户输入过滤后写入数据库不是很必要，由于即便这样也没法保证数据库中没有危险的数据。固然，上个双保险也没有什么很差的。