Soll Sanitizer.GetSafeHtmlFragment <br> Elemente entfernen?

Question

MS AntiXSS (v4.2.1) Sanitizer.GetSafeHtmlFragment(string) Methode entfernt <br> und <br /> Tags aus meiner Eingabe. Soll das passieren? Gibt es einen Weg dahin?

Es scheint \n und \r Zeichen auch zu entfernen, so kann ich Replace() nicht aufrufen, nachdem der Desinfizierer seine Arbeit erledigt hat.

Answer 1

Die Version 4.2.x wurde durch eine Sicherheitslücke verursacht, die genau im HTML-Desinfektor erkannt wurde. Weitere Informationen über diese Tatsache:

• Microsoft Security Bulletin MS12-007 - Important
• Microsoft Anti-XSS Library Bypass (MS12-007)

Allerdings scheint es, dass die Verwundbarkeit neben Festsetzung der Sanitizer geändert wurde viel aggressiver auf den Punkt zu sein, fast unbrauchbar ist. Es gibt ein gemeldetes Problem in der WPL CodePlex-Site (GetSafeHtmlFragment replacing all html tags).

Wenn Ihr Problem nur mit <br> Tag ist und Sie mit AntiXSS Desinfektionsmittel bleiben möchten, dann können Sie eine hässliche Problemumgehung implementieren, die Ihre Eingabe vorverarbeitet und dann das Ergebnis des Desinfektionsmittels nachbearbeitet.

So etwas wie dieser (Code nur zu Veranschaulichungszwecken):

static void Main(string[] args) 
{ 
    string input = "<br>Hello<br/>World!"; 

    input = EscapeHtmlBr(input); 
    var result = Sanitizer.GetSafeHtmlFragment(input); 
    result = UnescapeHtmlBr(result); 

    Console.WriteLine(result); 
} 

const string BrMarker = @"|br|"; 

private static string UnescapeHtmlBr(string result) 
{ 
    result = result.Replace(BrMarker, "<br />"); 

    return result; 
} 

private static string EscapeHtmlBr(string input) 
{ 
    input = input.Replace("<br>", BrMarker); 
    input = input.Replace("<br />", BrMarker); 
    input = input.Replace("<br/>", BrMarker); 

    return input; 
}