前言

最近博客也是上線了留言板功能，但是沒有做審核（太懶了），然后在留言的時候可以輸入<script>alert('xss')</script>標簽去讓網站彈出提示信息、跳轉網頁等，這類攻擊也被稱為XSS攻擊。

XSS攻擊

XSS攻擊（跨站腳本攻擊）是一種常見的網絡安全漏洞，攻擊者通過在網頁中注入惡意腳本，使得用戶在訪問該網頁時，惡意腳本被執行，從而導致用戶信息泄露、賬戶被盜等安全問題。XSS攻擊一般分為存儲型和反射型兩種，存儲型XSS攻擊是將惡意腳本存儲在服務器上，當用戶訪問受害頁面時，惡意腳本被執行；反射型XSS攻擊是將惡意腳本注入到URL中，當用戶點擊包含惡意腳本的URL時，惡意腳本被執行。為了防止XSS攻擊，網站開發人員需要對用戶輸入數據進行過濾和轉義，避免惡意腳本被注入到網頁中。

HtmlSanitizer使用方法

GitHub地址：mganss/HtmlSanitizer：清理HTML以避免XSS攻擊 (github.com)

目前這個項目有1.3k個星，也是很不錯的一個項目了。

.NET項目中使用HtmlSanitizer：

1. 1. 通過NuGet包管理器安裝HtmlSanitizer庫。在Package Manager Console中運行以下命令：

Install-Package HtmlSanitizer

1. 1. 在您需要清理HTML內容的代碼文件中，引入HtmlSanitizer命名空間：

using Ganss.XSS;

1. 1. 創建一個HtmlSanitizer實例并配置允許的標簽、屬性等。然后，使用Sanitize方法清理HTML內容。

示例：

// 創建一個HtmlSanitizer實例
var sanitizer = new HtmlSanitizer();

// 配置允許的標簽、屬性等（可選）
sanitizer.AllowedTags.Add("strong");
sanitizer.AllowedTags.Add("em");
sanitizer.AllowedTags.Add("u");

// 清理HTML內容
string inputHtml = "<script>alert('xss');</script><strong>Some text</strong>";
string sanitizedHtml = sanitizer.Sanitize(inputHtml);

在這個例子中，sanitizedHtml將只包含<strong>Some text</strong>，而潛在的危險腳本<script>alert('xss');</script>將被刪除。

1. 1. 在Razor頁面中使用Html.Raw方法輸出清理后的HTML內容：

@Html.Raw(sanitizedHtml)

總結

上述內容就是HtmlSanitizer的用法，用法很簡單，不錯的項目，Star一下。