Sanitizer.GetSafeHtmlFragment dovrebbe rimuovere gli elementi <br>?

Question

Il metodo MS AntiXSS (v4.2.1) Sanitizer.GetSafeHtmlFragment(string) rimuove i tag <br> e <br /> dal mio input. Questo dovrebbe succedere? C'è un modo per aggirarlo?

Sembra che stia rimuovendo \n e \r caratteri, quindi non posso chiamare Replace() dopo che il disinfettante ha fatto il suo lavoro.

Answer 1

La versione 4.2.x era motivata da una vulnerabilità di sicurezza rilevata precisamente nel disinfettante HTML. Maggiori informazioni su questo fatto:

• Microsoft Security Bulletin MS12-007 - Important
• Microsoft Anti-XSS Library Bypass (MS12-007)

Tuttavia, sembra che oltre a fissare la vulnerabilità del disinfettante è stato cambiato per essere molto più aggressivi al punto di essere quasi inutilizzabile. C'è un problema segnalato su questo fatto nel sito WPL CodePlex (GetSafeHtmlFragment replacing all html tags).

Se il tuo problema riguarda solo il tag <br> e vuoi attaccare con il disinfettante AntiXSS, puoi implementare una brutta soluzione alternativa al pre-processing dell'input e quindi post-processare il risultato del disinfettante.

Qualcosa di simile (codice solo a scopo illustrativo):

static void Main(string[] args) 
{ 
    string input = "<br>Hello<br/>World!"; 

    input = EscapeHtmlBr(input); 
    var result = Sanitizer.GetSafeHtmlFragment(input); 
    result = UnescapeHtmlBr(result); 

    Console.WriteLine(result); 
} 

const string BrMarker = @"|br|"; 

private static string UnescapeHtmlBr(string result) 
{ 
    result = result.Replace(BrMarker, "<br />"); 

    return result; 
} 

private static string EscapeHtmlBr(string input) 
{ 
    input = input.Replace("<br>", BrMarker); 
    input = input.Replace("<br />", BrMarker); 
    input = input.Replace("<br/>", BrMarker); 

    return input; 
}