Asp.net Ajax控件工具包编辑器控件-避免XSS攻击

我在文章中注意到，由于跨站点脚本攻击的危险，Microsoft不建议在公共站点中使用Ajax控件工具包中的编辑器控件。我尝试过，即使您专门设置NoScript=“true”，也可以添加脚本，从而引入XSS攻击漏洞。在我的情况下，我们正在进行奖学金申请程序，我们希望所有被提名者都能用这个程序在线打印一篇论文。我们想把数据重新展示给评审委员会，但显然，这是个坏主意

因此，我想知道是否有人知道一种简单的方法来验证内容以允许HTML，而不是脚本，也许可以使用CustomValidator或正则表达式，我可以在后面的代码中使用。我知道最好是白名单验证，而不是黑名单验证，我特别寻找这一点

---

或者，如果有人知道一个类似的控件可以防止XSS攻击，那也很好

AntiXSS库的最新版本现在进行了一些HTML清理，我认为这将满足您的需要。看一看我们的博客

2015年9月15日更新：

---

AntiXSS被卷到中，在您的

.config

文件中启用它。

AntiXSS库的最新版本现在进行了一些HTML清理，我认为这将满足您的需要。看一看我们的博客

2015年9月15日更新：

---

AntiXS被卷到了，在你的

.config

文件中启用它。

伙计，很遗憾你不能多次投票支持某人。这太好了。。我不敢相信我以前从未调查过这件事。我总是坚持使用验证来清理我的输入，并在适用的地方使用HtmlEncode，但这更好。。更好的性能，加上新的GetSafeThmlFragment（）函数在这种情况下工作！再次感谢你！并不是说我不会对输入进行消毒并采取所有预防措施。这只是一个很好的附加工具。很遗憾，链接已断开：-（老兄，很遗憾你不能多次投票支持某人。这太棒了。我不敢相信我以前从未研究过这个问题。我只是一直坚持使用验证来清理我的输入，并在适用的情况下使用HtmlEncode，但这甚至更好。更好的性能，加上新的GetSafetHtmlFragment（）函数在这种情况下工作！再次感谢！并不是说我将不清理输入并采取所有预防措施。这只是一个很好的附加工具。链接很不幸被破坏了：-(