Asp.net Ajax控制工具包HtmlEditorExtender:Xss攻击
我在ASP.NET项目中使用Ajax控件工具包,我对名为ContentHtmlEditor的Htmleditor Extender有问题。HtmlEditorExtender连接到名为ContentBox的文本框 我试着做一个XSS测试。我用Chrome编辑html代码并插入以下字符串:Asp.net Ajax控制工具包HtmlEditorExtender:Xss攻击,asp.net,ajaxcontroltoolkit,xss,Asp.net,Ajaxcontroltoolkit,Xss,我在ASP.NET项目中使用Ajax控件工具包,我对名为ContentHtmlEditor的Htmleditor Extender有问题。HtmlEditorExtender连接到名为ContentBox的文本框 我试着做一个XSS测试。我用Chrome编辑html代码并插入以下字符串: <a href='javascript:alert()'>bla-bla-bla</a> 返回后ContentBox.Text等于 如您所见,javascript:alert()尚
<a href='javascript:alert()'>bla-bla-bla</a>
返回后ContentBox.Text等于
如您所见,javascript:alert()尚未删除,但据我所知,Ajax控制工具包HtmlEditorExtender正在使用AntiXss消毒剂
当我打电话时
ContentHtmlEditor.SanitizerProvider.GetSafeHtmlFragment("<a href='javascript:alert()'>bla-bla-bla</a>")
ContentHtmlEditor.SanitizerProvider.GetSafeHtmlFragment("<a href='http://somesite.com'>bla-bla-bla</a>")
ContentHtmlEditor.SanitizerProvider.getSafetHtmlFragment(“”)
它返回:
<a>bla-bla-bla</a>
”)
因为它会返回相同的字符串:
<a>bla-bla-bla</a>
bla-bla-bla
但我需要知道的参考,如果链接
问题是什么?我如何在我的站点上防止Xss攻击