HtmlSanitizer库中关于href属性安全处理的注意事项

HtmlSanitizer是一个流行的.NET库，用于清理HTML内容以防止XSS攻击。近期该库在处理href属性时出现了一些行为变化，开发者需要特别注意。

问题背景

在HtmlSanitizer 7.1.488版本中，类似<a href='javascript:alert("xss")'>这样的HTML会被正确地识别为不安全内容并过滤掉。然而在8.1.860-beta版本中，同样的内容可能不会被正确处理。

根本原因

这个变化源于8.x版本引入了一个新的配置选项UriAttributes。该选项定义了哪些HTML属性需要被检查URI安全性。默认情况下，它包含以下属性：

• src
• cite
• background
• longdesc
• usemap
• data
• poster
• formaction
• action

值得注意的是，href属性并不在默认列表中。这意味着即使设置了AllowedSchemes来限制允许的协议（如只允许http/https），如果UriAttributes中没有包含href，那么href属性中的javascript:等危险协议也不会被过滤。

解决方案

要确保href属性被正确检查，开发者需要显式地将href添加到UriAttributes集合中：

var sanitizer = new HtmlSanitizer();
sanitizer.UriAttributes.Add("href");
sanitizer.AllowedSchemes.Add("http");
sanitizer.AllowedSchemes.Add("https");

或者更简单地使用默认构造函数初始化，然后调整需要的设置：

var sanitizer = new HtmlSanitizer();
sanitizer.AllowedSchemes = new HashSet<string> { "http", "https" };

安全建议

1. 升级到最新稳定版本后，务必检查所有URI相关属性的过滤情况
2. 对于链接处理，建议始终包含href属性到UriAttributes
3. 定期审查和更新安全策略，特别是当库有重大版本更新时
4. 考虑实现自动化测试来验证XSS防护措施的有效性

HtmlSanitizer作为安全库，其默认配置已经考虑了大多数常见攻击场景。但在特定使用场景下，开发者需要根据实际需求调整配置，确保所有潜在的攻击向量都被覆盖。理解这些安全机制的工作原理对于构建安全的Web应用至关重要。