Ajax Control Toolkit Editor Control – предотвращение XSS-атак
https://stackoverflow.com/questions/1503947
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я заметил в этот В статье говорится, что Microsoft не рекомендует использовать элемент управления Editor из Ajax Control Toolkit на общедоступных сайтах из-за опасности атак с использованием межсайтовых сценариев.Я попробовал это, и даже если вы специально установили NoScript="true", можно добавить скрипт и, следовательно, создать уязвимости для XSS-атак.В моей ситуации мы работаем над процессом подачи заявки на стипендию и надеялись использовать его для всех кандидатов, чтобы напечатать эссе онлайн.Мы хотели взять данные и повторно отобразить их на доске обзора, но, очевидно, это плохая идея.
Поэтому мне интересно, знает ли кто-нибудь простой способ проверки содержимого, позволяющий использовать HTML, но не скрипт, возможно, с использованием CustomValidator или регулярного выражения, которые я могу использовать в коде программной части.Я знаю, что лучше использовать проверку белого списка, а не проверки черного списка, я специально этого ищу.
Альтернативно, если кто-нибудь знает о подобном элементе управления, защищающем от XSS-атак, это тоже было бы хорошо.
Решение
Последняя версия библиотеки AntiXSS теперь выполняет некоторую очистку HTML, которая, я думаю, сделает то, что вы хотите.Посмотри на дротикблог об этом здесь.
ОБНОВЛЕНИЕ 15 сентября 2015 г.:
AntiXSS добавлен в Платформа .Net 4.0, включите его в своем .config файл.
