Ajax Toolkit contrôle Control Editor - en évitant les attaques XSS
https://stackoverflow.com/questions/1503947
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai remarqué dans cet article que Microsoft ne recommande pas d'utiliser le contrôle de l'éditeur du Ajax Control Toolkit dans les lieux publics en raison du danger d'attaques de cross-site scripting. Je l'ai essayé, et même si vous définissez spécifiquement NoScript = « true » il est possible de ajouter un script, et par conséquent, introduire des vulnérabilités d'attaque XSS. Dans ma situation, nous travaillons sur un processus de demande de bourse, et nous avions espéré utiliser pour tous les candidats de taper un essai en ligne. Nous voulions prendre les données et réafficher à la commission d'examen, mais de toute évidence, cela est une mauvaise idée.
Je me demande si quelqu'un sait d'une manière simple de valider le contenu HTML pour permettre, mais pas au script, en utilisant peut-être un CustomValidator ou une expression régulière que je peux utiliser dans le code-behind. Je suis conscient qu'il est préférable de la validation de la liste blanche et non validation liste noire, suis à la recherche spécifiquement pour cela.
Sinon, si quelqu'un est au courant d'un contrôle similaire qui ne protège contre les attaques XSS, ce serait bien aussi.
La solution
La dernière version de la bibliothèque AntiXSS fait maintenant un certain HTML qui aseptisation, je pense, faire ce que vous voulez. Jetez un oeil à blowdart blog de sur elle ici .
Mise à jour le 15 septembre 2015:
Le AntiXSS se est roulé dans la .Net 4.0 Framework , activer dans votre fichier .config.
