使用HttpUtility.HtmlEncode和處理特殊字符/變音符號等

Question

我使用HttpUtility.HtmlEncode來消毒用戶輸入以防止XSS攻擊。我的問題是，HtmlEncode將特殊字符（如ü）轉換爲它們的Html等效代碼。我找不到關於它做什麼和不編碼的文檔。然後爲了正確顯示這個給用戶我需要HtmlDecode它。

2個問題：

1. 如何HtmlEncode決定它需要編碼理應有效字符像ü而不是其他Unicode字符像標準的英文字母字符。 HtmlEncode是否對所有非ascii字符進行編碼？什麼是防止腳本標記但允許特殊字符（如變音符號）而不創建特殊忽略列表的最佳方法？

2. 是否使用HtmlDecode暴露的危險，因爲它被轉換回潛在的惡意的JavaScript

Answer 1

1. 的HTMLEncode（）做兩個主要方面：
   1. 它處理的是不是一部分的任何字符默認的127個ASCII字符集。
   2. 它對可能被瀏覽器誤解爲有效的HTML，CSS或Javascript的字符進行編碼，以防止意外和故意改變網頁。
2. 使用危險嗎？根據使用方法的不同，一切都可能會很危險。問題不是「你在解碼嗎？」而是「你在解碼用戶數據嗎？」。根據你對結果做什麼，使用它肯定會很危險。即使只顯示給客戶端也會導致XSS。

關於編碼和解碼有更多的關於編碼和解碼的信息比我在這裏可以寫得更多，而且之前的人已經對它做了比我更詳盡的解釋。 This article on preventing XSS in Asp.Net可以解釋你的XSS是什麼以及如何防止它。