Microsoft Web Protection Library (AntiXSS)已经停止更新。该页面指出:“在.NET 4.0中,AntiXSS的一个版本被包括在框架中,并可以通过配置启用。在ASP.NET v5中,基于白名单的编码器将是唯一的编码器。”
我有一个典型的跨站脚本攻击场景:一个ASP.Net Core解决方案,用户可以使用所见即所得的HTML编辑器编辑文本。结果会显示给其他人看。这意味着如果用户在保存文本时注入JavaScript代码,当其他人访问页面时,这些代码可能会执行。
我想能够将某些HTML代码列入白名单(安全的代码),但过滤掉不良代码。
我应该如何做?我在ASP.Net Core RC2中找不到任何帮助我的方法。白名单编码器在哪里?我应该如何调用它?例如,我需要清理通过JSON WebAPI返回的输出。