前言

最近博客也是上線了留言板功能，但是沒(méi)有做審核（太懶了），然后在留言的時(shí)候可以輸入<script>alert('xss')</script>標(biāo)簽去讓網(wǎng)站彈出提示信息、跳轉(zhuǎn)網(wǎng)頁(yè)等，這類(lèi)攻擊也被稱(chēng)為XSS攻擊。

XSS攻擊

XSS攻擊（跨站腳本攻擊）是一種常見(jiàn)的網(wǎng)絡(luò)安全漏洞，攻擊者通過(guò)在網(wǎng)頁(yè)中注入惡意腳本，使得用戶(hù)在訪問(wèn)該網(wǎng)頁(yè)時(shí)，惡意腳本被執(zhí)行，從而導(dǎo)致用戶(hù)信息泄露、賬戶(hù)被盜等安全問(wèn)題。XSS攻擊一般分為存儲(chǔ)型和反射型兩種，存儲(chǔ)型XSS攻擊是將惡意腳本存儲(chǔ)在服務(wù)器上，當(dāng)用戶(hù)訪問(wèn)受害頁(yè)面時(shí)，惡意腳本被執(zhí)行；反射型XSS攻擊是將惡意腳本注入到URL中，當(dāng)用戶(hù)點(diǎn)擊包含惡意腳本的URL時(shí)，惡意腳本被執(zhí)行。為了防止XSS攻擊，網(wǎng)站開(kāi)發(fā)人員需要對(duì)用戶(hù)輸入數(shù)據(jù)進(jìn)行過(guò)濾和轉(zhuǎn)義，避免惡意腳本被注入到網(wǎng)頁(yè)中。

HtmlSanitizer使用方法

GitHub地址：mganss/HtmlSanitizer：清理HTML以避免XSS攻擊 (github.com)

目前這個(gè)項(xiàng)目有1.3k個(gè)星，也是很不錯(cuò)的一個(gè)項(xiàng)目了。

.NET項(xiàng)目中使用HtmlSanitizer：

1. 1. 通過(guò)NuGet包管理器安裝HtmlSanitizer庫(kù)。在Package Manager Console中運(yùn)行以下命令：

Install-Package HtmlSanitizer

1. 1. 在您需要清理HTML內(nèi)容的代碼文件中，引入HtmlSanitizer命名空間：

using Ganss.XSS;

1. 1. 創(chuàng)建一個(gè)HtmlSanitizer實(shí)例并配置允許的標(biāo)簽、屬性等。然后，使用Sanitize方法清理HTML內(nèi)容。

示例：

// 創(chuàng)建一個(gè)HtmlSanitizer實(shí)例
var sanitizer = new HtmlSanitizer();

// 配置允許的標(biāo)簽、屬性等（可選）
sanitizer.AllowedTags.Add("strong");
sanitizer.AllowedTags.Add("em");
sanitizer.AllowedTags.Add("u");

// 清理HTML內(nèi)容
string inputHtml = "<script>alert('xss');</script><strong>Some text</strong>";
string sanitizedHtml = sanitizer.Sanitize(inputHtml);

在這個(gè)例子中，sanitizedHtml將只包含<strong>Some text</strong>，而潛在的危險(xiǎn)腳本<script>alert('xss');</script>將被刪除。

1. 1. 在Razor頁(yè)面中使用Html.Raw方法輸出清理后的HTML內(nèi)容：

@Html.Raw(sanitizedHtml)

總結(jié)

上述內(nèi)容就是HtmlSanitizer的用法，用法很簡(jiǎn)單，不錯(cuò)的項(xiàng)目，Star一下。