Ajax Control Toolkit Editor de controle - evitando ataques XSS
-
19-09-2019 - |
Pergunta
Eu observei em este artigo que a Microsoft não recomenda o uso do controle do editor do Ajax Control Toolkit em locais públicos por causa do perigo de ataques cross-site scripting. Eu tentei sair, e mesmo se você definir especificamente NoScript = "true" é possível adicionar um script e, portanto, introduzir vulnerabilidades ataque XSS. Na minha situação, estamos trabalhando em um processo de pedido de bolsa, e nós tinha a esperança de usar isso para todos os indicados para digitar um Essay on-line. Queríamos levar os dados e re exibição-lo para o conselho de revisão, mas, obviamente, esta é uma má idéia.
Então, eu estou querendo saber se alguém sabe de uma maneira simples de validar o conteúdo para permitir HTML, mas não roteiro, talvez usando um CustomValidator ou uma expressão regular que eu posso usar no código-behind. Estou ciente de que é melhor para validação de lista branca e não a validação da lista negra, 'm procurando especificamente para isso.
Como alternativa, se alguém está ciente de um controle semelhante que faz a proteger contra ataques XSS, que seria bom também.
Solução
A última versão da biblioteca AntiXSS agora faz algum higienização HTML que eu acho que vai fazer o que quiser. Ter um olhar para blowdart 's blog em que aqui .
Atualização 15 de setembro de 2015:
O AntiXSS tem rolado para o .Net 4.0 Framework , ative-o no seu arquivo .config
.