Ajax Control Toolkit Editor Control - 避免XSS攻击
https://stackoverflow.com/questions/1503947
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我注意到在 这 文章指出,Microsoft 不建议在公共站点中使用 Ajax Control Toolkit 中的编辑器控件,因为存在跨站点脚本攻击的危险。我尝试了一下,即使你专门设置了NoScript=“true”,也有可能添加脚本,从而引入XSS攻击漏洞。就我而言,我们正在制定奖学金申请流程,我们希望所有被提名者都可以使用该流程在线输入论文。我们想获取数据并将其重新显示给审查委员会,但显然,这是一个坏主意。
所以我想知道是否有人知道一种简单的方法来验证内容以允许 HTML,但不允许脚本,也许使用我可以在代码隐藏中使用的 CustomValidator 或正则表达式。我知道最好进行白名单验证而不是黑名单验证,我正在专门寻找这一点。
或者,如果有人知道可以防止 XSS 攻击的类似控件,那也很好。
解决方案
最新版本的 AntiXSS 库现在可以进行一些 HTML 清理,我认为这可以满足您的需求。看一下 吹镖的博客 这里.
2015 年 9 月 15 日更新:
AntiXSS 被纳入 .Net 4.0框架, ,在您的 .config 文件。
不隶属于 StackOverflow
