关于在线文本编辑器防XSS注入攻击问题

跨站脚本攻击，又称XSS代码攻击，也是一种常见的脚本注入攻击。例如在下面的界面上，很多输入框是可以随意输入内容的，特别是一些文本编辑框里面，可以输入例如<script>alert('这是一个页面弹出警告');</script>这样的内容，如果在一些首页出现很多这样内容，而又不经过处理，那么页面就不断的弹框，更有甚者，在里面执行一个无限循环的脚本函数，直到页面耗尽资源为止，类似这样的攻击都是很常见的。

为了避免上述的XSS代码攻击，解决办法是可以使用HttpUitility的HtmlEncode或者最好使用微软发布的AntiXSSLibrary进行处理，这个更安全。微软反跨站脚本库（AntiXSSLibrary）是一种编码库，旨在帮助保护开发人员保护他们的基于Web的应用不被XSS攻击。

编码方法	使用场景	示例
HtmlEncode(String)	不受信任的HTML代码。	<a href=”http://www.cnblogs.com”>Click Here [不受信任的输入]</a>
HtmlAttributeEncode(String)	不受信任的HTML属性	<hr noshade size=[不受信任的输入]>
JavaScriptEncode(String)	不受信任的输入在JavaScript中使用	<script type=”text/javascript”> … [Untrusted input] … </script>
UrlEncode(String)	不受信任的URL	<a href=”http://cnblogs.com/results.aspx?q=[Untrusted input]”>Cnblogs.com</a>
VisualBasicScriptEncode(String)	不受信任的输入在VBScript中使用	<script type=”text/vbscript” language=”vbscript”> … [Untrusted input] … </script>
XmlEncode(String)	不受信任的输入用于XML输出	<xml_tag>[Untrusted input]</xml_tag>
XmlAttributeEncode(String)	不 受信任的输入用作XML属性	<xml_tag attribute=[Untrusted input]>Some Text</xml_tag>

 

然而，特殊情况如通过文本编辑器提交文章内容时，由于排版和格式化的原因，需要展示出html效果,以上方法行不通，此时需要既能展示出html效果，又要处理掉危险的xss代码。微软提供的HtmlSanitizationLibrary类库可以很好解决此问题。

string safecode=Sanitizer.GetSafeHtmlFragment(txtName.Text);

此方法能够自动过滤掉特殊的代码，又不影响html效果显示。