Используете проверку запросов для запросов ajax?

Question

У пользователей на моем сайте есть страница, на которую они могут написать свой собственный HTML. Я хочу, чтобы это использовалось для таких вещей, как упорядоченные списки, стилизация и т. Д., Но некоторые люди попытаются вставить скрипт, чего я не могу допустить.

Механизм обновления описания пользователя через ajax. Из javascript я отправляю запрос в файл ajax.ashx, который вызывает функцию в ajaxMethods.cs. В функции я обновляю сервер sql новым описанием пользователя.

Как я могу проверить ввод в функции, прежде чем описание будет отправлено на сервер? Я хочу убрать все, что связано со сценариями, но оставлю обычные HTML-теги вроде <p>. Есть ли инструменты, которые справятся со всем этим?

Answer 1

Почему бы не позволить пользователям использовать вместо этого пользовательский формат / язык (например, Markdown ), а затем проанализировать эту сторону сервера для HTML? Таким образом, вы узнаете, что любой скрипт / html-код, который вы найдете в текущем запросе, недопустим и может быть удален (или закодирован) Это также дает вам преимущество в том, чтобы разрешить только заранее определенный список тегов. В основном это даст вам ту же функциональность, что и StackOverflow.

Answer 2

Я рекомендую вам HttpServerUtility.HtmlEncode ваш вывод.Попытка разобрать теги сценария, а не HTML, не очень хороший подход.См. Ссылку ниже:

Шпаргалка XSS (межсайтовый скриптинг)