HtmlSanitizer项目中关于span标签过滤问题的技术解析

问题现象

在使用HtmlSanitizer进行HTML内容过滤时，开发者发现即使没有将span标签显式添加到允许标签列表(AllowedTags)中，该标签仍然没有被过滤掉。具体表现为当输入包含span标签的HTML内容时，输出结果中仍然保留了这些span标签。

问题原因

这个问题的根源在于C#集合初始化器的工作机制与HtmlSanitizer内部实现的交互方式。HtmlSanitizer的构造函数会预先初始化AllowedTags集合，其中默认包含了一些常见HTML标签（包括span标签）。当开发者使用集合初始化器语法时，实际上是在已存在的集合上调用Add方法添加新元素，而不是替换整个集合。

解决方案

方法一：先清空集合再添加

var sanitizer = new HtmlSanitizer();
sanitizer.AllowedTags.Clear();
sanitizer.AllowedTags.Add("br");
sanitizer.AllowedTags.Add("a");
sanitizer.AllowedTags.Add("b");

这种方法显式清除了默认的允许标签集合，然后逐个添加真正需要的标签。

方法二：使用HtmlSanitizerOptions类

var options = new HtmlSanitizerOptions()
{
    AllowedTags = { "br", "a", "b" }
};
var sanitizer = new HtmlSanitizer(options);

这种方法更为简洁，通过专门的配置类来初始化允许的标签集合，避免了直接操作集合可能带来的混淆。

技术背景

HtmlSanitizer是一个用于清理HTML内容的.NET库，主要用于防止XSS(跨站脚本)攻击。它通过白名单机制工作，只允许特定的HTML标签和属性通过。默认情况下，HtmlSanitizer会包含一组常见的"安全"HTML标签，这是出于便利性考虑，因为大多数情况下开发者希望保留基本的HTML格式。

最佳实践

1. 显式配置：当需要严格控制允许的HTML标签时，应该显式配置AllowedTags集合，而不是依赖默认值。

2. 最小权限原则：只允许确实需要的HTML标签通过，而不是简单地保留所有"看起来安全"的标签。

3. 使用配置类：HtmlSanitizerOptions提供了更清晰、更易维护的配置方式，特别是在复杂场景下。

4. 测试验证：对于安全敏感的过滤逻辑，应该编写单元测试验证过滤行为是否符合预期。

总结

HtmlSanitizer的默认行为虽然提供了便利性，但也可能带来意外的结果。理解集合初始化在C#中的工作方式以及HtmlSanitizer的内部实现，有助于开发者更精确地控制HTML过滤行为。通过本文介绍的两种方法，开发者可以确保只有真正需要的HTML标签被保留，从而提高应用的安全性。