Ajax Control Toolkit Editor Steuerung - Vermeidung von XSS-Angriffe
https://stackoverflow.com/questions/1503947
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe bemerkt, in diesem Artikel dass Microsoft nicht empfehlen, das Editor-Steuerelement aus der Ajax Control Toolkit in öffentlichen Websites wegen der Gefahr von Cross-Site-Scripting-Attacken verwenden. Ich versuchte, es aus, und selbst wenn Sie gezielt eingestellt NoScript = „true“ ist es möglich, Skript hinzuzufügen, und deshalb XSS-Angriff Schwachstellen einzuführen. In meiner Situation, arbeiten wir an einem Stipendium Bewerbungsprozess, und wir hatten gehofft, dies für alle Kandidaten zu verwenden, um einen Essay on-line abtippen. Wir wollten die Daten zu übernehmen und erneut angezeigt wird es den Review Board, aber natürlich ist dies eine schlechte Idee.
Also ich frage mich, ob jemand eine einfache Art und Weise kennt den Inhalt der Validierung von HTML zu erlauben, aber nicht Skript, vielleicht einen CustomValidator oder einen regulären Ausdruck verwenden, die ich in dem Code-Behind verwenden kann. Ich bin mir bewusst, dass es besser ist, zu Whitelist-Validierung und nicht die schwarzen Liste der Validierung ‚speziell ist dafür suchen.
Alternativ, wenn jemand kennt eine ähnliche Kontrolle ist, die gegen XSS-Angriffe schützt, das wäre auch gut.
Lösung
Die neueste Version der AntiXSS Bibliothek jetzt hat einige HTML sanitisation die ich denke, das tun, was Sie wollen. Hier finden Sie aktuelle blowdart 's Blog auf sie hier .
UPDATE 15. September 2015:
Die AntiXSS wurde rollt in die .Net Framework 4.0 , aktivieren sie es in Ihrem .config Datei.
