在html onclick,onmouseout,...中防止xss用于SPA?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (1)
  • 关注 (0)
  • 查看 (133)

我在用AngularJSASP.Net Web API 2我的客户调查系统。

我的网页使用wysiwyg组件来帮助用户输入数据。这是我的wysiwyg我用的是:

<h2 style="text-align: center;"><span style="text-decoration: underline;"><strong>Click here</strong></span><strong> to start using the </strong><strong><em>HTML editor online</em></strong></h2>
<p><span style="font-weight: 400;">Please</span><span style="font-weight: 400;"> try out the WYSIWYG HTML editor features found in the kitchen sink above to edit and format your text and images</span></p>
<p><span style="font-weight: 400;">You&rsquo;ll see the content created in the WYSIWYG-HTML editor in source code format on the right.</span><br /><br /></p>
<p>&nbsp;</p>
<p><img onclick="alert('Hello world')" onmouseout="alert('Mouse out')" src="https://icon2.kisspng.com/20180416/ucw/kisspng-tanki-online-video-gaming-clan-world-of-tanks-avat-joker-5ad4b1028d0565.2188790515238883865776.jpg" alt="" width="260" height="260" /></p>

这就是我在API上为上面的html代码编码所做的工作。

/// Encode submited html content
        /// </summary>
        /// <returns></returns>
        [Route("encode")]
        [HttpPost]
        public IHttpActionResult Encode([FromBody] EncodeViewModel httpContent)
        {
            if (httpContent == null)
            {
                httpContent = new EncodeViewModel();
                Validate(httpContent);
            }

            if (!ModelState.IsValid)
                return BadRequest(ModelState);

            var encodedHtmlContent= HttpUtility.HtmlEncode(httpContent.HtmlContent);

            // Save content to database here.
            return Ok(encodedHtmlContent);
        }

当我的前端客户端加载编码的html并显示到网站页面时。我希望不会有任何消息显示。

这意味着,我只允许显示文本、图像、视频,但不允许内容中的内联代码。

有什么解决办法吗?

提问于
用户回答回答于

一般来说,我建议你不要使用HTML作为你的WYSIWYG 输出,然后你不必逃避它。而是使用其他东西并从中生成HTML。然后你可以确定你不会生成危险的HTML。如果你做简单的字符串连接仍然要小心。

扫码关注云+社区

领取腾讯云代金券