Ajax Control Toolkit Editor Control - evitar ataques XSS
https://stackoverflow.com/questions/1503947
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Me di cuenta en este artículo que Microsoft no recomienda utilizar el control Editor del control Toolkit Ajax en sitios públicos, debido al peligro de ataques de cross-site scripting. Lo probé, e incluso si se establece específicamente NoScript = "true" es posible añadir guión, y por lo tanto, introducir vulnerabilidades XSS de ataque. En mi situación, estamos trabajando en un proceso de solicitud de beca, y que habíamos esperado a usar esto para todos los candidatos a escribir hasta un ensayo en línea. Queríamos tomar los datos y volver a mostrarlo a la junta de revisión, pero obviamente, esto es una mala idea.
Así que me pregunto si alguien sabe de una manera sencilla de validar el contenido para permitir HTML, pero no la escritura, tal vez mediante un CustomValidator o una expresión regular que puedo usar en el código subyacente. Soy consciente de que es mejor para la validación de la lista blanca y lista negra de validación no, estoy buscando específicamente para eso.
Por otra parte, si alguien tiene conocimiento de un control similar que protege contra ataques XSS, que sería bueno, también.
Solución
La última versión de la biblioteca AntiXSS ahora hace algo de higienización HTML que creo que va a hacer lo que quiera. Echar un vistazo a el blog blowdart 's en ella aquí .
Actualización 15 Sep 2015:
El AntiXSS quedó enrollada en la .Net 4.0 Marco , habilitarlo en su archivo .config.
