我該如何編碼html而忽略安全html

Question

我的數據來自數據庫可能包含一些html。如果我使用

string dataFromDb = "Some text<br />some more <br><ul><li>item 1</li></ul>"; 
HttpContext.Current.Server.HtmlEncode(dateFromDb); 

然後一切都被編碼，我看到屏幕上的安全Html。

但是，我希望能夠執行安全的HTML，如上面dataFromDb所述。

我想我想創建白名單來檢查。

• 我該如何去做這件事？
• 是否有一些正則表達式已經可以做到這一點？

Answer 1

退房this articleAntiXSS library也值得一看

Answer 2

您應該使用Microsoft AntiXSS庫。我相信最新版本可用here。具體來說，您需要使用GetSafeHtmlFragment方法。