如何将HTML保存到数据库并正确检索它

Question

这些天学习安全性:)
我需要允许用户在表单中输入文本并允许他们使用一些HTML标签:粗体,斜体,列表等,并防止他们添加一些危险的JavaScript代码.
所以我使用这个白名单实现来清理HTML.
但我仍然对如何以正确的方式保存和显示它感到困惑.
所以我在这做了什么:
型号:

public class Post
    {
        [AllowHtml]
        public string Data { get; set; }
    }

控制器:

[HttpPost, ActionName("Create")]
        [ValidateAntiForgeryToken]
        public ActionResult Create(Post model)
        {
            // Decode model.Data as it is Encoded after post
            string decodedString = HttpUtility.HtmlDecode(model.Data);
            // Clean HTML
            string sanitizedHtmlText =  HtmlUtility.SanitizeHtml(decodedString);

            string encoded = HttpUtility.HtmlEncode(sanitizedHtmlText);

视图:

@using (Html.BeginForm("Create", "Home", FormMethod.Post)) {    
    @Html.AntiForgeryToken()
    @Html.TextAreaFor(a=>a.Data)
    <input type="submit" value="submit" />
}

所以当我发布表格时,我看到:

<p>Simple <em><strong>whitelist</strong> </em>test:</p>
<ul>
<li>t1</li>
<li>t2</li>
</ul>
<p>Image:</p>
<p>&lt;img src="http://metro-portal.hr/img/repository/2010/06/medium/hijena_shutter.jpg" /&gt;</p>

Becaouse <p>&lt;我认为我需要先解码它:

<p>Simple <em><strong>whitelist</strong> </em>test:</p>
<ul>
<li>t1</li>
<li>t2</li>
</ul>
<p>Image:</p>
<p><img src="http://metro-portal.hr/img/repository/2010/06/medium/hijena_shutter.jpg" /></p>

然后我针对白名单清理它并获得清理HTML:

<p>Simple <em><strong>whitelist</strong> </em>test:</p>
<ul>
<li>t1</li>
<li>t2</li>
</ul>
<p>Image:</p>
<p>

1)我应该像这样在数据库中保存吗？
2)或者我需要对此结果进行编码然后将其保存到数据库(编码后的下方)？

<p>Simple <em><strong>whitelist</strong> </em>test:</p>
<ul>
<li>t1</li>
<li>t2</li>
</ul>
<p>Image:</p>
<p>

如果我把它放在这样的视图上,我很困惑:

@Model.Data

我在视图上看到了这个:

<p>Simple <em><strong>whitelist</strong> </em>test:</p> <ul> <li>t1</li> <li>t2</li> </ul> <p>Image:</p> <p>

要么

<p>Simple <em><strong>whitelist</strong> </em>test:</p> <ul> <li>t1</li> <li>t2</li> </ul> <p>Image:</p> <p>

那么如何正确显示这个HTML(粗体,列表等)呢？

Answer 1

经验法则如下:

1. 在您的数据库中存储RAW HTML,无需任何编码或清理.SQL服务器不关心您是否存储包含XSS代码的字符串.
2. 将此输出显示到页面时,请确保已对其进行清理.

所以:

[HttpPost, ActionName("Create")]
[ValidateAntiForgeryToken]
public ActionResult Create(Post model)
{
    // store model.Data directly in your database without any cleaning or sanitizing
}

然后在显示时:

@Html.Raw(HtmlUtility.SanitizeHtml(Model.Data))

请注意我在这里使用Html.Raw帮助程序以确保您不会获得双HTML编码输出.该HtmlUtility.SanitizeHtml函数应该已经处理了清理值并返回一个可以在视图中显示的安全字符串,并且不会进一步编码.另一方面@HtmlUtility.SanitizeHtml(Model.Data),如果你使用了@剃刀函数,那么剃须刀函数会对函数的结果进行HTML编码,SanitizeHtml这可能与你正在寻找的不同.