Uso de la biblioteca MS Anti XSS para desinfectar HTML

Question

Con la intención de prevenir ataques XSS, estoy actualizando una página en la que tenemos un cuadro de texto que acepta HTML, lo almacena en una base de datos y lo recupera y procesa posteriormente.

Según tengo entendido, puedo desinfectar el HTML utilizando el método AntiXSS.GetSafeHtmlFragment(). Mientras haga esto antes de almacenar el HTML en la base de datos, ¿estoy cubierto? ¿Debo hacer algo cuando el HTML se muestre en una página web?

Además, parece que la lista blanca es una especie de cuadro negro. ¿Hay alguna forma de actualizar esto en función de nuestros requisitos?

Answer 1

Debe configurarlo. Aunque obviamente esto no lo protegerá de nada que ya esté en la base de datos.

Puede usar AntiXSS.GetSafeHtmlFragment() mientras imprime la página en lugar de guardar. Pero hacer cuando se guarda es probablemente más seguro. Sin embargo, no querrás hacerlo mientras renderizas y guardas.

La lista blanca no es editable.

Answer 2

Estás casi allí. Debe asegurarse de que you choose the proper encoding. Por ejemplo, si la entrada del usuario entró en una url, necesitaría usar AntiXSS.UrlEncode(), y si entraba en JavaScript, querría usar AntiXSS.JavaScriptEncode(). Si no puede garantizar cuándo guardará la entrada, cuál será el formato de salida, es mejor realizar la desinfección en el momento de la salida.

Answer 3

Con respecto a su pregunta sobre "caja negra": sí, es una caja negra, y tengo entendido que no puede editarla. Si busca más granularidad, consulte AntiSamy.NET project.

Answer 4

En las últimas bibliotecas 4.x Anti-XSS, GetSafeHtml() y SetSafeHtmlFragment() están en la clase Sanitizer en Microsoft.Security.Application, que se movió al ensamblado HtmlSanitizationLibrary.

[obsoleta Enlace: http://www.microsoft.com/en-us/download/details.aspx?id=28589] Actualización: Esto parece que fue trasladado a un paquete NuGet: https://www.nuget.org/packages/HtmlSanitizationLibrary/