在HTML中对用户输入进行转义，防止 XSS 攻击

        // 对用户输入进行转义，防止 XSS 攻击
        string safeInput = System.Net.WebUtility.HtmlEncode(userInput);

XSS（跨站脚本攻击，Cross-Site Scripting） 是一种常见的网络安全漏洞，攻击者通过在网页中注入恶意脚本（通常是 JavaScript），从而在用户浏览网页时执行这些脚本，达到窃取用户信息、篡改页面内容或进行其他恶意操作的目的。

XSS 攻击通常发生在 Web 应用程序中，尤其是当用户输入的内容未经正确处理就直接嵌入到网页中时。

XSS 攻击的类型

XSS 攻击主要分为以下三种类型：

存储型 XSS（持久型 XSS）
- 攻击者将恶意脚本提交到目标网站的数据库中（例如评论、留言等）。
- 当其他用户访问包含这些恶意脚本的页面时，脚本会被执行。
- 危害范围广，因为所有访问该页面的用户都会受到影响。
示例：
- 攻击者在评论框中输入 <script>alert('XSS');</script>，如果网站未对输入进行过滤，这段脚本会被存储到数据库中。
- 其他用户访问该页面时，脚本会被执行，弹出警告框。
反射型 XSS（非持久型 XSS）
- 攻击者将恶意脚本作为参数附加到 URL 中，诱使用户点击链接。
- 服务器将恶意脚本反射回用户的浏览器并执行。
- 通常需要用户主动点击恶意链接才能触发。
示例：
- 攻击者构造一个 URL：http://example.com/search?q=<script>alert('XSS');</script>。
- 如果服务器未对 q 参数进行过滤，脚本会被反射到页面并执行。
DOM 型 XSS
- 攻击者通过修改页面的 DOM（文档对象模型）结构来触发恶意脚本。
- 这种攻击完全在客户端（浏览器）中发生，不涉及服务器。
- 通常是由于 JavaScript 代码直接操作 DOM 而未对用户输入进行验证。
示例：
- 页面中存在以下代码：
```
var userInput = location.hash.substring(1);
document.getElementById("output").innerHTML = userInput;
```
- 攻击者构造一个 URL：http://example.com/#<script>alert('XSS');</script>。
- 当用户访问该 URL 时，脚本会被注入到页面中并执行。

XSS 攻击的危害

XSS 攻击可以导致以下严重后果：

窃取用户信息：攻击者可以通过恶意脚本窃取用户的 Cookie、Session 信息，甚至登录凭证。
篡改页面内容：攻击者可以修改页面内容，显示虚假信息或诱导用户进行危险操作。
重定向用户：攻击者可以将用户重定向到恶意网站，进一步实施钓鱼攻击。
传播恶意软件：通过 XSS 攻击，攻击者可以在用户设备上安装恶意软件。

如何防御 XSS 攻击

为了防止 XSS 攻击，开发者需要采取以下措施：

对用户输入进行转义
- 在将用户输入嵌入到 HTML 中时，使用 HTML 转义函数（如 HtmlEncode）对特殊字符（如 <, >, &, " 等）进行转义。
- 示例：
```
string safeInput = System.Net.WebUtility.HtmlEncode(userInput);
```
使用安全的 API
- 避免直接使用 innerHTML 或类似的方法插入未经验证的内容。
- 使用安全的 API，如 textContent 或 innerText。
启用 Content Security Policy (CSP)
- CSP 是一种浏览器安全策略，可以限制页面中脚本的来源，防止恶意脚本的执行。
- 示例：
```
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;
```
验证和过滤输入
- 对用户输入进行严格的验证，确保输入符合预期格式（如邮箱、电话号码等）。
- 使用白名单机制，只允许特定的字符或标签。
使用安全的框架和库
- 使用现代前端框架（如 React、Vue.js 等），它们通常内置了 XSS 防护机制。
- 使用安全的 Markdown 解析库（如 Markdig），并确保对用户输入进行转义。
设置 HttpOnly 和 Secure 标志
- 为 Cookie 设置 HttpOnly 和 Secure 标志，防止通过 JavaScript 访问 Cookie。

示例：XSS 攻击与防御

攻击场景

假设有一个简单的网页，用户输入的内容直接显示在页面上：

html"><input type="text" id="userInput" />
<button onclick="displayInput()">提交</button>
<div id="output"></div>

<script>
  function displayInput() {
    var userInput = document.getElementById("userInput").value;
    document.getElementById("output").innerHTML = userInput;
  }
</script>

如果用户输入 <script>alert('XSS');</script>，脚本会被执行。

防御措施

对用户输入进行转义：

function displayInput() {
  var userInput = document.getElementById("userInput").value;
  var safeInput = escapeHtml(userInput); // 转义特殊字符
  document.getElementById("output").innerHTML = safeInput;
}

function escapeHtml(str) {
  return str.replace(/&/g, "&amp;")
             .replace(/</g, "&lt;")
             .replace(/>/g, "&gt;")
             .replace(/"/g, "&quot;")
             .replace(/'/g, "&#039;");
}