你认为是这样吗？看看这个。

无论您采用何种方法，您都绝对需要使用白名单。这是对您在网站上允许的内容接近安全的唯一方法。

编辑：

不幸的是，我不熟悉 .NET，但您可以查看 stackoverflow 自己与 XSS 的战斗（https://blog.stackoverflow.com/2008/06/safe-html-and-xss/）以及当时的代码用于解析发布在此站点上的 HTML：Archive.org 链接- 显然您可能需要更改此设置，因为您的白名单更大，但这应该可以帮助您入门。

在我看来，元素和属性的白名单是唯一可以接受的选择。任何不在您的白名单上的东西都应该被删除或编码（将 <>&" 更改为实体）。另外一定要检查您允许的属性中的值。

少一点，你就会面临问题——已知的漏洞利用或将来会发现的漏洞。

唯一真正安全的方法是使用白名单。对所有内容进行编码，然后将允许的代码转换回来。

我已经看到相当先进的尝试只禁止危险代码，但它仍然不能很好地工作。尝试安全地捕捉任何人能想到的一切是相当了不起的，并且很容易对一些根本不危险的东西进行烦人的替换。

目前最好的选择是使用这样的内容安全策略标头：

Content-Security-Policy: default-src 'self';

这将阻止加载内联和外部脚本、样式、图像等，因此浏览器只会加载和执行来自同一来源的资源。

但是，它不适用于旧浏览器。

基本上，正如 Paolo 所说，您应该尝试关注用户被允许做的事情，而不是试图过滤掉他们不应该做的事情。

保留允许的 HTML 标记列表（例如 b、i、u...）并过滤掉其他所有内容。您可能还想删除允许的 HTML 标记的所有属性（例如，因为您的第二个示例）。

另一种解决方案是引入所谓的 BB 代码，这是很多论坛使用的。它的语法与 HTML 相似，但首先是允许代码白名单的想法，然后将其转换为 HTML。例如， [b]example[/b] 将导致example。确保在使用 BB 代码时仍然预先过滤掉 HTML 标签。