代码语言
.
CSharp
.
JS
Java
Asp.Net
C
MSSQL
PHP
Css
PLSQL
Python
Shell
EBS
ASP
Perl
ObjC
VB.Net
VBS
MYSQL
GO
Delphi
AS
DB2
Domino
Rails
ActionScript
Scala
代码分类
文件
系统
字符串
数据库
网络相关
图形/GUI
多媒体
算法
游戏
Jquery
Extjs
Android
HTML5
菜单
网页交互
WinForm
控件
企业应用
安全与加密
脚本/批处理
开放平台
其它
【
Asp.Net
】
编码并过滤CKeditor不安全的HTML标签
作者:
dezai
/ 发布于
2014/2/24
/
1851
编码并过滤CKeditor不安全的HTML标签
using System; using System.Text; using System.Web; using System.Text.RegularExpressions; // 在Action前加 [ValidateInput(false)] 代替在VIew中<pages validaterequest="false"/> // 根据微软提供的建议,慎重允许下列HTML标签,因为这些HTML标签都是有可能导致跨站脚本攻击的。 // <applet> <body> <embed> <frame> <script><frameset> <html> <iframe> <object> // <meta> <style> <layer><link> <ilayer> <img> // 可能这里最让人不能理解的是<img>。但是,看过下列代码后,就应该明白其危险性了x。 // <img src="javascript:alert('hello');" /> namespace WebUI.Controllers.Utils { public static class EncodeCKEditorValue { //编码 public static string EncodeStr(string str) { //将输入字符串编码,策略:" 默认禁止,显式允许” str = Regex.Replace(str, @"<html[^>]*?>.*?</html>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<html[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<body[^>]*?>.*?</body>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<body[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<meta[^>]*?>.*?</meta>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<meta[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<frame[^>]*?>.*?</frame>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<frame[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<frameset[^>]*?>.*?</frameset>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<frameset[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<iframe[^>]*?>.*?</iframe>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<iframe[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<layer[^>]*?>.*?</layer>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<layer[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<ilayer[^>]*?>.*?</ilayer>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<ilayer[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<applet[^>]*?>.*?</applet>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<applet[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<script[^>]*?>.*?</script>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<script[^>]*?/>", "", RegexOptions.IgnoreCase); //以下慎重允许 //flash str = Regex.Replace(str, @"<embed[^>]*?>.*?</embed>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<embed[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<object[^>]*?>.*?</object>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<object[^>]*?/>", "", RegexOptions.IgnoreCase); //link style str = Regex.Replace(str, @"<link[^>]*?>.*?</link>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<link[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<style[^>]*?>.*?</style>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<style[^>]*?/>", "", RegexOptions.IgnoreCase); //img //str = Regex.Replace(str, @"<img[^>]*?>.*?</img>", "", //RegexOptions.IgnoreCase); //str = Regex.Replace(str, @"<img[^>]*?/>", "", //RegexOptions.IgnoreCase); //hyperLink //str = Regex.Replace(str, @"<a[^>]*?>.*?</a>", "", //RegexOptions.IgnoreCase); //str = Regex.Replace(str, @"<a[^>]*?/>", "", //RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<form[^>]*?>.*?</form>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<form[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<input[^>]*?>.*?</input>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<input[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<textarea[^>]*?>.*?</textarea>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<textarea[^>]*?/>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<select[^>]*?>.*?</select>", "", RegexOptions.IgnoreCase); str = Regex.Replace(str, @"<select[^>]*?/>", "", RegexOptions.IgnoreCase); return HttpUtility.HtmlEncode(str); } //解码 public static string DecodeStr(string encodeStr) { return HttpUtility.HtmlDecode(encodeStr); } } }
试试其它关键字
HTML标签
同语言下
.
gzip压缩
.
实现http多线程断点续传下载文件
.
实现多线程断点续传下载大文件
.
生成字符串的 CheckSum
.
根据 UserAgent 获取浏览器的类型和版本
.
根据 Agent 判断是否是智能手机
.
隐藏手机号中间四位为*方法
.
合并图片(二维码和其他图片合并)
.
ASP.NET CORE中判断是否移动端打开网页
.
ASP.NET(C#)实现页面计时(定时)自动跳转
可能有用的
.
C#实现的html内容截取
.
List 切割成几份 工具类
.
SQL查询 多列合并成一行用逗号隔开
.
一行一行读取txt的内容
.
C#动态修改文件夹名称(FSO实现,不移动文件)
.
c# 移动文件或文件夹
.
c#图片添加水印
.
Java PDF转换成图片并输出给前台展示
.
网站后台修改图片尺寸代码
.
处理大图片在缩略图时的展示
dezai
贡献的其它代码
(
1065
)
.
双色球
.
列出所有物理网络适配器
.
快乐数的 Python 实现
.
计算当月还剩天数
.
猜属相
.
二十四小时时钟
.
每日一语
.
很酷的日历
.
超长日历表单
.
最简单的时钟
Copyright © 2004 - 2024 dezai.cn. All Rights Reserved
站长博客
粤ICP备13059550号-3