Asp.net Ajax控制工具包HtmlEditorExtender:Xss攻击_Asp.net_Ajaxcontroltoolkit_Xss

Asp.net Ajax控制工具包HtmlEditorExtender:Xss攻击

asp.net

Asp.net Ajax控制工具包HtmlEditorExtender:Xss攻击,asp.net,ajaxcontroltoolkit,xss,Asp.net,Ajaxcontroltoolkit,Xss,我在ASP.NET项目中使用Ajax控件工具包，我对名为ContentHtmlEditor的Htmleditor Extender有问题。HtmlEditorExtender连接到名为ContentBox的文本框我试着做一个XSS测试。我用Chrome编辑html代码并插入以下字符串： <a href='javascript:alert()'>bla-bla-bla</a> 返回后ContentBox.Text等于如您所见，javascript:alert（）尚

我在ASP.NET项目中使用Ajax控件工具包，我对名为ContentHtmlEditor的Htmleditor Extender有问题。HtmlEditorExtender连接到名为ContentBox的文本框

我试着做一个XSS测试。我用Chrome编辑html代码并插入以下字符串：

<a href='javascript:alert()'>bla-bla-bla</a>

返回后ContentBox.Text等于

如您所见，javascript:alert（）尚未删除，但据我所知，Ajax控制工具包HtmlEditorExtender正在使用AntiXss消毒剂

当我打电话时

ContentHtmlEditor.SanitizerProvider.GetSafeHtmlFragment("<a href='javascript:alert()'>bla-bla-bla</a>")

ContentHtmlEditor.SanitizerProvider.GetSafeHtmlFragment("<a href='http://somesite.com'>bla-bla-bla</a>")

ContentHtmlEditor.SanitizerProvider.getSafetHtmlFragment（“”）

它返回：

<a>bla-bla-bla</a>

”）

因为它会返回相同的字符串：

<a>bla-bla-bla</a>

bla-bla-bla

但我需要知道的参考，如果链接

问题是什么？我如何在我的站点上防止Xss攻击