我需要为正在开发的 Web 应用程序清理用户输入(或输出)。用户输入只是纯文本,我想防止 HTML 或其他“有害”字符串。但是,应该允许使用小于、大于、撇号、与号、引号等字符。
我想第一步是禁用请求验证以防止通用的“检测到潜在危险值”消息,但我还需要做什么?例如,我不能简单地对输出进行 htmlencode 编码,否则我最终会显示 < 来代替小于字符。
有什么工具可以提供帮助吗?我快速浏览了 AntiXSS 库,但据我所知,它只是一个美化的 htmlencoder,还是我遗漏了什么?MVC 怎么样 - 这有什么内置的吗?
我从来没有找到一篇关于这种事情的像样的文章。有人说要清理输入,而其他人说要清理输出,示例通常过于简单化,使用 htmlencoding 之类的技术,它将重新格式化完全有效的字符,例如小于。