前言

最近博客也是上線了留言板功能，但是沒有做審核（太懶了），然后在留言的時候可以輸入<script>alert('xss')</script>標(biāo)簽去讓網(wǎng)站彈出提示信息、跳轉(zhuǎn)網(wǎng)頁等，這類攻擊也被稱為XSS攻擊。

XSS攻擊

XSS攻擊（跨站腳本攻擊）是一種常見的網(wǎng)絡(luò)安全漏洞，攻擊者通過在網(wǎng)頁中注入惡意腳本，使得用戶在訪問該網(wǎng)頁時，惡意腳本被執(zhí)行，從而導(dǎo)致用戶信息泄露、賬戶被盜等安全問題。XSS攻擊一般分為存儲型和反射型兩種，存儲型XSS攻擊是將惡意腳本存儲在服務(wù)器上，當(dāng)用戶訪問受害頁面時，惡意腳本被執(zhí)行；反射型XSS攻擊是將惡意腳本注入到URL中，當(dāng)用戶點(diǎn)擊包含惡意腳本的URL時，惡意腳本被執(zhí)行。為了防止XSS攻擊，網(wǎng)站開發(fā)人員需要對用戶輸入數(shù)據(jù)進(jìn)行過濾和轉(zhuǎn)義，避免惡意腳本被注入到網(wǎng)頁中。

HtmlSanitizer使用方法

GitHub地址：mganss/HtmlSanitizer：清理HTML以避免XSS攻擊 (github.com)

目前這個項(xiàng)目有1.3k個星，也是很不錯的一個項(xiàng)目了。

.NET項(xiàng)目中使用HtmlSanitizer：

1. 1. 通過NuGet包管理器安裝HtmlSanitizer庫。在Package Manager Console中運(yùn)行以下命令：

Install-Package HtmlSanitizer

1. 1. 在您需要清理HTML內(nèi)容的代碼文件中，引入HtmlSanitizer命名空間：

using Ganss.XSS;

1. 1. 創(chuàng)建一個HtmlSanitizer實(shí)例并配置允許的標(biāo)簽、屬性等。然后，使用Sanitize方法清理HTML內(nèi)容。

示例：

// 創(chuàng)建一個HtmlSanitizer實(shí)例
var sanitizer = new HtmlSanitizer();

// 配置允許的標(biāo)簽、屬性等（可選）
sanitizer.AllowedTags.Add("strong");
sanitizer.AllowedTags.Add("em");
sanitizer.AllowedTags.Add("u");

// 清理HTML內(nèi)容
string inputHtml = "<script>alert('xss');</script><strong>Some text</strong>";
string sanitizedHtml = sanitizer.Sanitize(inputHtml);

在這個例子中，sanitizedHtml將只包含<strong>Some text</strong>，而潛在的危險(xiǎn)腳本<script>alert('xss');</script>將被刪除。

1. 1. 在Razor頁面中使用Html.Raw方法輸出清理后的HTML內(nèi)容：

@Html.Raw(sanitizedHtml)

總結(jié)

上述內(nèi)容就是HtmlSanitizer的用法，用法很簡單，不錯的項(xiàng)目，Star一下。