做WEB开发当然要防止跨站脚本攻击了，尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。

有些开发者选择了将所有Html内容都过滤掉，但是这些不适合有些需要将自定义内容开放给用户的网站，比如淘宝、cnblogs、CSDN这样的网站。

在.net下也有一些Xss过滤工具，但是这些工具都会将HTML过滤的很彻底，比如会将：

<span style="color:red">文字</span>

过滤成

<span>文字</span>

而另外一些，虽然保留了很多元素，但是会有很多安全隐患，比如无法过滤这样的跨站脚本攻击：

<div style="background-image:url(alert(\'xss\'))">文字</div>

<img src="alert(\'xss too\')" />

在 .net 环境下，始终找不到成熟合适的 XSS 过滤工具。

后来在找到了基于java开发的AntiSamy，完全符合既保留用户输入HTML，又能保证安全的过滤工具。AntiSamy是基于白名单的技术，即只保留安全的内容，而且白名单可以让开发者进行配置。虽然AntiSamy也有.net版本，但是那是一个半成品，惨不忍睹。于是只好把Java下的AntiSamy封装成WebService，供.net程序调用。当然，这需要你有独立的服务器，虚拟主机是不行了。

本文来源：SecYe安全网[http://www.secye.com] (责任编辑：SecYe安全)

• ·【技术分享】PHPCMS V9.6.2 SQL注入漏洞
• ·PHPCMS V9.6.1 任意文件读取漏洞分析（含
• ·SQL注入防御与绕过的几种姿势
• ·看我如何挖到Twitter的XSS漏洞并绕过了CS
• ·WebAssembly入门：将字节码带入Web世界
• ·BurpSuite 代理设置的小技巧
• ·如何通过BurpSuite检测Blind XSS漏洞
• ·BurpSuite导出Log配合SQLMAP批量扫描注入
• ·Web Service 渗透测试从入门到精通
• ·Python安全运维实战：针对几种特定隐藏方
• ·利用Burp suite检测Blind XSS
• ·Web安全入门心法
• ·PornHub跨站脚本（XSS）漏洞挖掘记
• ·docker搭建WEB漏洞环境
• ·60字节 - 无文件渗透测试实验
• ·无线应用安全剖析