富文本内容要替换掉js代码主要防止xss，不是防止注入，防注入参数化写数据库就好了，或者将单引号替换为实体对象在做一些网站(特别是bbs之类)时，经常会有充许用户输入html样式代码，却禁止脚本的运行的需求, 以达到丰富网页样式，禁止恶意代码的运行。 当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索，也没有找到好的解决办法，倒是收集了一些脚本攻击的实例：

其它基本控件的 on...事件中的代码

iframe 和 frameset 中载入其它页面造成的攻击 有了这些资料后，事情就简单多了，写一个简单的方法，用正则表达式把以上符合几点的代码替换掉:

-C#

public string wipescript(string html)

{

system.text.regularexpressions.regex regex1 = new system.text.regularexpressions.regex(@"

system.text.regularexpressions.regex regex2 = new system.text.regularexpressions.regex(@" href *= *[\s\S]*script *:",system.text.regularexpressions.regexoptions.ignorecase);

system.text.regularexpressions.regex regex3 = new system.text.regularexpressions.regex(@" on[\s\S]*=",system.text.regularexpressions.regexoptions.ignorecase);

system.text.regularexpressions.regex regex4 = new system.text.regularexpressions.regex(@"",system.text.regularexpressions.regexoptions.ignorecase);

system.text.regularexpressions.regex regex5 = new system.text.regularexpressions.regex(@"

",system.text.regularexpressions.regexoptions.ignorecase);

html = regex1.replace(html, ""); //过滤标记

html = regex2.replace(html, ""); //过滤href=javascript: () 属性

html = regex3.replace(html, " _disibledevent="); //过滤其它控件的on...事件

html = regex4.replace(html, ""); //过滤iframe

html = regex5.replace(html, ""); //过滤frameset

return html;

}

此方法输入可能包含脚本的html代码，返回则就是干净的代码了。

c#中过滤html的正则表达式

TempContent 表示包含有html的字符串；

TempContent = System.Text.RegularExpressions.Regex.Replace(TempContent,"]+>","");至少一个

TempContent = System.Text.RegularExpressions.Regex.Replace(TempContent,"]*>","");任意个