我有一个简单的论坛应用程序,当有人发布任何内容时,我这样做:
post.Content = Sanitizer.GetSafeHtml(post.Content);
现在,我不确定我做错了什么,或者发生了什么,但它几乎不允许任何HTML.即使是简单<b></b>也是太过分了.所以我想这个工具完全没用.
现在我的问题是:有谁能告诉我应该如何消毒我的用户输入,以便他们可以发布一些图像(<img>标签)并使用大胆的重点等?
在其中一个网站中,我发现文章中的状态:
AntiXSS库采用可接受列表方法,而.NET Framework采用阻止列表方法.
请解释一下这是什么意思accepted-list approach和blocked-list approach???