那些遇到过的问题

AntiXss.HtmlEncode vs AntiXss.GetSafeHtmlFragment

Bik*_*iki 5 html asp.net-mvc

谁能告诉我这两者之间的区别? AntiXss.HtmlEncode()VSAntiXss.GetSafeHtmlFragment()

Bri*_*vez 9

HtmlEcode实际上编码标签:

AntiXss.HtmlEncode("<b>hello</b><script>");
//Output: &lt;b&gt;hello&lt;/b&gt;&lt;script&gt;
Run Code Online (Sandbox Code Playgroud)

GetSafeHtmlFragment(AntiXss v4.0)返回标记完整的HTML片段:

Sanitizer.GetSafeHtmlFragment("<b>hello2</b><script>")
//Output: <b>hello2</b>
Run Code Online (Sandbox Code Playgroud)

更新

许多人认为最新版本的微软AntiXSS库已被破坏.我已经开始使用HTML Sanitizer作为一个不错的替代品.

  • 好吧,GetSafeHtmlFragment并没有真正返回完整的HTML片段,它做了两件事: - 正确形成格式错误的HTML - 删除不在白名单上的HTML标签 (2认同)

小智 7

还应该提到的是,它也会antixss.GetSafeHtmlFragment对字符进行编码.双引号更改为&quot;.加号变成&#43;等.

小智 5

我还可以添加样式名称前的x_GetSafeHtmlFragment弄乱CSS ,并删除HTML实体编码。这不是一件美丽的事情。

赫克

归档时间:

查看次数:

15870 次

最近记录:

10 年,2 月 前
Sanitizer.GetSafeHtmlFragment应该删除<br>元素吗? 6
GetSafeHtmlFragment删除所有html标签 2
更多相关链接
相关归档
自定义元素是否有效HTML5? 171
ASP.NET MVC 5个AngularJS/ASP.NET的WebAPI 86
正则表达式从字符串中删除HTML标记 73
Global.asax中FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters)的用途是什么 37
方向(LTR/RTL):CSS方向和HTML方向属性有什么区别? 22
在控制器asp.net-core中获取当前文化 22
用于呈现HTML和JavaScript的Python库 18
如何使用Javascript/PHP录制用户的声音? 18
Firefox,Edge和IE中的Flexbox列反转 17
使用ASP.NET MVC和表单身份验证的不同URL的不同LoginUrl 11
难疑归档
'git pull'和'git fetch'有什么区别? 11447
如何在Python中连接两个列表? 2250
如何确定数组是否包含Java中的特定值? 2194
为什么在单独的循环中元素添加比在组合循环中快得多? 2175
迭代对象属性 1904
除了XHTML自包含标记之外,RegEx匹配开放标记 1323
如何获取MySQL用户帐户列表 1320
如何列出使用ATTACH打开的SQLite数据库文件中的表? 1151
同步检查Node.js中是否存在文件/目录 1113
为什么有两种方法可以在Git中取消暂存文件? 1109