Antixss使用

AntiXSS，由微软推出的用于防止XSS攻击的一个类库，可实现输入白名单机制和输出转义。

AntiXSS最新版的下载地址：http://wpl.codeplex.com

下载安装之后，安装目录下有以下文件：
AntiXSS.chm：

     包括类库的操作手册参数说明。

AntiXSSLibrary.dll：

     包含Antixss，Encoder类(输出转义)，AntiXSS类中的方法已经过时，建议使用Encoder类中相同的方法。
HtmlSanitizationLibrary.dll：

     包含Sanitizer类(输入白名单)，只包含GetSafeString和GetSafeHtmlFragment两个方法。

使用时在工程内添加引用HtmlSanitizationLibrary.dll 和AntiXSSLibrary.dll
导入命名空间using Microsoft.Security.Application;

我们需要决定使用哪个编码函数。接下来的表格将帮助你决定使用哪个编码函数：

编码函数	应该使用的场景	示例/模式
HtmlEncode	不可信的输入被用作html输出，被分配给一个html属性除外	<a href="http://www.contoso.com">Click Here [Untrusted input]</a>
HtmlAttributeEncode	不可信的输入作为一个html属性	<hr noshade size=[Untrusted input]>
JavaScriptEncode	不可信的输入作为一个javascript上下文	<script type="text/javascript"> … [Untrusted input] … </script>
UrlEncode	不可信的输入作为一个url(例如作为一个查询参数的值)	<a href="http://search.msn.com/results.aspx? q=[Untrusted-input]">Click Here!</a>
VisualBasicScriptEncode	不可信的输入作为一个visual basic上下文	<script type="text/vbscript" language="vbscript"> … [Untrusted input] … </script>
XmlEncode	不可信的输入作为一个xml输出，除了把它作为一个xml节点的属性	<xml_tag>[Untrusted input]</xml_tag>
XmlAttributeEncode	不可信的输入作为一个xml的属性	<xml_tag attribute=[Untrusted input]>Some Text</xml_tag>

• 在将 HTML 数据保存到数据库之前，使用 AntiXSS Sanitizer 对象（该库是一个单独的下载文件，将在下文中介绍）调用 GetSafeHtml 或 GetSafeHtmlFragment；不要在保存数据之前对数据进行编码。AntiXss.GetSafeHtmlFragment(html)方法，这个方法会替换掉html里的危险字符。
• 确保所有输出内容都经过 HTML 编码。