AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义。
AntiXSS最新版的下载地址:http://wpl.codeplex.com
下载安装之后,安装目录下有以下文件:
AntiXSS.chm:
包括类库的操作手册参数说明。
AntiXSSLibrary.dll:
包含Antixss,Encoder类(输出转义),AntiXSS类中的方法已经过时,建议使用Encoder类中相同的方法。
HtmlSanitizationLibrary.dll:
包含Sanitizer类(输入白名单),只包含GetSafeString和GetSafeHtmlFragment两个方法。
使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary.dll
导入命名空间using Microsoft.Security.Application;
我们需要决定使用哪个编码函数。接下来的表格将帮助你决定使用哪个编码函数:
编码函数 | 应该使用的场景 | 示例/模式 |
HtmlEncode | 不可信的输入被用作html输出,被分配给一个html属性除外 | <a href="http://www.contoso.com">Click Here [Untrusted input]</a> |
HtmlAttributeEncode | 不可信的输入作为一个html属性 | <hr noshade size=[Untrusted input]> |
JavaScriptEncode | 不可信的输入作为一个javascript上下文 | <script type="text/javascript"> … [Untrusted input] … </script> |
UrlEncode | 不可信的输入作为一个url(例如作为一个查询参数的值) | <a href="http://search.msn.com/results.aspx? q=[Untrusted-input]">Click Here!</a> |
VisualBasicScriptEncode | 不可信的输入作为一个visual basic上下文 | <script type="text/vbscript" language="vbscript"> … [Untrusted input] … </script> |
XmlEncode | 不可信的输入作为一个xml输出,除了把它作为一个xml节点的属性 | <xml_tag>[Untrusted input]</xml_tag> |
XmlAttributeEncode | 不可信的输入作为一个xml的属性 | <xml_tag attribute=[Untrusted input]>Some Text</xml_tag> |
- 在将 HTML 数据保存到数据库之前,使用 AntiXSS Sanitizer 对象(该库是一个单独的下载文件,将在下文中介绍)调用 GetSafeHtml 或 GetSafeHtmlFragment;不要在保存数据之前对数据进行编码。AntiXss.GetSafeHtmlFragment(html)方法,这个方法会替换掉html里的危险字符。
- 确保所有输出内容都经过 HTML 编码。