asp.net-mvc – 防止XSS攻击,仍然使用Html.Raw

我有CMS系统,我使用CK编辑器输入数据.现在,如果用户输入< script> alert(‘这是一个糟糕的脚本,数据’);< / script>然后CKEditor完成公平的工作并正确编码并传递& lt; script& gt; alert(&#39;这是一个糟糕的脚本,数据&#39;)& lt; / script& gt;到服务器.

但是如果用户进入浏览器开发人员工具(使用Inspect元素)并将其添加到其中,如下面的屏幕截图所示,那么这就是所有麻烦开始的时候.现在在从DB中检索回来后,它在浏览器中显示它会显示警告框.

到目前为止,我已经尝试了很多不同的东西

>使用AntiXssEncoder [HttpUtility.HtmlEncode(Contents)]对内容进行编码,然后将其存储在数据库中,当在浏览器中显示时,将其解码并使用MvcHtmlString.Create [MvcHtmlString.Create(HttpUtility.HtmlDecode(Contents))]或Html显示.Raw [Html.Raw(Contents)]正如您所期望的那样,它们都显示JavaScript警报.

我不想替换< script>手动通过代码,因为它是not comprehensive solution(搜索“和编码状态：”).

到目前为止,我已经提到了许多文章(抱歉没有在这里列出所有文章,但只是添加了一些作为证明我在写这个问题之前付出了真诚努力的证据)但是没有一个代码能够显示答案.可能有一些简单的答案,我不是在寻找正确的方向,或者可能不是那么简单,我可能需要使用像Content Security Policy这样的东西.

ASP.Net MVC Html.Raw with AntiXSS protection
Is there a risk in using @Html.Raw?
http://blog.simontimms.com/2013/01/21/content-security-policy-for-asp-net-mvc/
http://blog.michaelckennedy.net/2012/10/15/understanding-text-encoding-in-asp-net-mvc/

要重现我所说的,请转到* this url并在文本框中键入< script> alert(‘这是一个糟糕的脚本,数据’);< / script>然后单击按钮.

*此链接来自Michael Kennedy的博客

<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>