AntiXSS - 支持Html同时防止XSS攻击

AntiXSS - 支持Html同时防止XSS攻击

跨站脚本攻击（XSS）已经不是什么新鲜的话题了，甚至很多大公司也为此吃尽苦头。最简单直接的防范方法，就是不允许任何html标签输入，对用户输入进行编码(htmlencode)。

但是如果想用户输入支持一些格式，怎么办？一种办法就是很多论坛采用的BB Code的方法。使用特定的标签代替一些格式。比如：[B]表示粗体，等等。但是，BB Code这种形式并不被广泛接受，它的表现力实在太差了，而且并不是标准格式。

为了让用户的输入更具表现力，涌现了大量的Html编辑器控件，著名的有FCKEditor，FreeTextBox，Rich TextBox，Cute Editor，TinyMCE等等。比如，博客园的后台发随笔就支持Cute Editor和TinyMCE，我个人比较喜欢Cute Editor，功能强大，性能不错，而且容易定制。

使用这些Html编辑器控件的潜在危险，是用户可能会输入一些危险字符，注入到网站中，形成XSS攻击。一个最简单的输入就是：

<javascript>alert('xss')</javascript>

如何防止呢？大致思路有三种：
1. 正则表达式的白名单过滤机制。
2. 正则表达式的黑名单替换机制。
3. 通过DOM对象过滤白名单和黑名单的标签。

下面这个地址列举了很多这样的过滤方法：
http://refactormycode.com/codes/333-sanitize-html

不过，我试了上面链接里的一些方法，并不是很好用。有一个更简单好用的东西，就是AntiXSS，由微软推出的用于防止XSS攻击的一个类库。它的实现原理也是使用白名单机制，不过这个白名单对我们来说是一个黑盒，我用reflector粗略看了一下，也没找到所谓的白名单在哪里。不过，这个库确实很好用。

一个MSDN里图文并茂的使用说明：http://msdn.microsoft.com/en-us/library/aa973813.aspx

其实我用的很简单，就是AntiXss.GetSafeHtmlFragment(html)方法，这个方法会替换掉html里的危险字符。比如：

var html = "<a href=\"#\" onclick=\"alert();\">aaaaaaaaa</a>javascript<P><IMG SRC=javascript:alert('XSS')><javascript>alert('a')</javascript><IMG src=\"abc.jpg\"><IMG><P>Test</P>";

string safeHtml = AntiXss.GetSafeHtmlFragment(html);
Console.WriteLine(safeHtml);

上面的危险内容被成功替换，返回的内容是：

<a href="">aaaaaaaaa</a>javascript
<p><img src="">alert('a')<img src="abc.jpg"><img></p>
<p>Test</p>

嗯，非常安全。然后，又有一个疑问了，是应该将用户的输入过滤之后写入数据库呢？还是在输出界面显示的时候进行过滤？其实，通常来讲，在输出界面显示的时候进行过滤就够了，将用户输入过滤后写入数据库不是很必要，因为即使这样也无法保证数据库中没有危险的数据。当然，上个双保险也没有什么不好的。