HTML 위생 처리 WebApi EntityFramework 응용 프로그램

Question

MVC 및 면도기보기에서 HTML 위생 처리에 대한 다소 좋은 문서를 발견했습니다. 그러나 안전하지 않은 HTML 텍스트를 위생 처리하여 WebAPI2 프로젝트를 XSS 공격으로부터 보호하려고합니다.

응용 프로그램에는 전자 메일 메시지 용 HTML 템플리트를 입력하기위한 섹션이 있는데, 스타일 관련 HTML을 허용해야하지만 위험한 html을 제거해야합니다. 이러한 것들을 감지하고 나쁜 모델 상태를 반환 할 모델 속성에 주석을 달 수있는 도구 또는 방법이 있습니까? 비슷한 -

public class MyDTO 
{ 
    [Required] 
    [SanitizeXSS] 
    public string Subject {get;set;} 

    [Required] 
    [SanitizeXSS] 
    public string Body {get;set;} 

} 

클라이언트 측에서 앵귤러를 사용하고 일부 양식 유효성 검사를 사용하고 있습니다. 그러나 끝점은 WebAPI를 통해 노출되므로 일부 서버 측의 위생 처리를 통해이 기능을 향상시키고 싶습니다. 이 작업을 수행하는 라이브러리 또는 내장 메소드가 있습니까? 아니면 내 자신의 속성을 롤백해야합니까?

Answer 1

자동 속성이 없습니다. 직접 작업해야합니다.

나는 Microsoft Web Protection Library에 대해 이미 알고 있는지 잘 모르겠습니다. AntiXSS 구성 요소 (NuGet link)가 포함되어있어 원하는대로 이상적으로 보입니다. This OWASP article에는 많은 유용한 정보가 들어 있으며 Haacked는 tutorial on how to use it입니다.

그러나 일부 문제를 해결하고 해결하기 위해 문제가 있으며 this article 시도가 있음에 유의하십시오.

참고 : 나는 그것을 개인적으로 사용하지 않았기 때문에 경험으로 논평 할 수 없습니다.