[Owasp-turkey] Tarayiciya Guvenli HTML Parcasi Gondermek Istiyorum - Sanitizer.GetSafeHtmlFragment

Bedirhan Urgun bedirhanurgun at gmail.com
Wed Dec 16 07:26:10 EST 2009


Merhaba,
Diyelim ki, HTML bir rapor uretmek istiyoruz ama bu raporun bazi bolumleri
guvensiz bir kaynaktan geliyor ve bu kaynaktan raporda kalmasi gereken bazi
HTML parcalari da geliyor, mesela <p>, <br/> gibi... ASP.NET uygulamalari
icin AntiXSS kutuphanesindeki Sanitizer.GetSafeHtmlFragment kullanabiliriz.

*Not: AntiXSS GetSafeHtmlFragment beyaz listesinde bulunan HTML elementler
disindakileri filter ediyor yani siliyor (mesela script). Ama o kisimlari
HTML encode / URL encode etse daha iyi olur gibi...*

Ornek:

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

using System.Web.UI;

using System.Web.UI.WebControls;

using Microsoft.Security.Application;

public partial class _Default : System.Web.UI.Page

{

protected void Page_Load(object sender, EventArgs e)

{

div1.InnerHtml = Sanitizer.GetSafeHtmlFragment("<script>alert(1)</script>");

}

}


-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20091216/6727570f/attachment.html 


More information about the Owasp-turkey mailing list