Ajax Control Toolkit Control Editor - evitare gli attacchi XSS
-
19-09-2019 - |
Domanda
Ho notato in questo articolo che Microsoft non consiglia di utilizzare il controllo Editor dal Ajax Control Toolkit nei luoghi pubblici a causa del pericolo di attacchi cross-site scripting. Ho provato, e anche se si impostano specificatamente NoScript = "true" è possibile aggiungere lo script, e quindi, di introdurre XSS vulnerabilità di attacco. Nella mia situazione, stiamo lavorando su un processo di applicazione di borse di studio, e avevamo sperato di usare questo per tutti i candidati a digitare su un saggio on-line. Abbiamo voluto prendere i dati e ri-visualizzarla alla scheda di revisione, ma ovviamente, questa è una cattiva idea.
Quindi mi chiedo se qualcuno sa di un modo semplice per convalidare il contenuto per consentire HTML, ma non lo script, magari utilizzando un CustomValidator o un'espressione regolare che posso usare nel code-behind. Mi rendo conto che è meglio per la convalida lista bianca e non convalida blacklist, 'M specificamente alla ricerca di questo.
In alternativa, se qualcuno è a conoscenza di un controllo analogo che non proteggono contro gli attacchi XSS, che sarebbe bene, anche.
Soluzione
L'ultima versione della libreria AntiXSS ora fa un po 'di sanificazione HTML che credo farà quello che vuoi. Dai un'occhiata alla Blowdart s ' blog su di essa qui .
UPDATE 15 settembre 2015:
L'AntiXSS ottenuto rotolato nel .Net Framework 4.0 , abilitarlo nel file .config
.