Ajax Control Toolkit Editor Control - 避免XSS攻击

Question

我在 这篇 文章中注意到 Microsoft 所做的不建议在公共站点中使用 Ajax 控件工具包中的编辑器控件，因为存在跨站点脚本攻击的危险。我尝试了一下，即使你专门设置了NoScript=“true”，也有可能添加脚本，从而引入XSS攻击漏洞。就我而言，我们正在制定奖学金申请流程，我们希望所有被提名者都可以使用该流程在线输入论文。我们想获取数据并将其重新显示给审查委员会，但显然，这是一个坏主意。

所以我想知道是否有人知道一种简单的方法来验证内容以允许 HTML，但不允许脚本，也许使用我可以在代码隐藏中使用的 CustomValidator 或正则表达式。我知道最好进行白名单验证而不是黑名单验证，我正在专门寻找这一点。

或者，如果有人知道可以防止 XSS 攻击的类似控件，那也很好。

Answer 1

最新版本的 AntiXSS 库现在可以进行一些 HTML 清理，我认为这可以满足您的需求。看看 Blowdart 的博客 此处。

2015 年 9 月 15 日更新：
AntiXSS 被纳入 .Net 4.0 Framework，在 .config 文件中启用它。