Microsoft Web 保护库 (AntiXSS) https://wpl.codeplex.com/已达到使用寿命。该页面指出“在 .NET 4.0 中,框架中包含了一个 AntiXSS 版本,可以通过配置启用。在 ASP.NET v5 中,基于白名单的编码器将是唯一的编码器。”
我有一个经典的跨站点脚本场景:一个 ASP.Net Core 解决方案,用户可以使用所见即所得 html 编辑器编辑文本。结果将显示给其他人查看。这意味着,如果用户在保存文本时将 JavaScript 注入到他们提交的数据中,则该代码可能会在其他人访问该页面时执行。
我希望能够将某些 HTML 代码(安全代码)列入白名单,但剔除不良代码。
我该怎么做呢?我在 ASP.Net Core RC2 中找不到任何方法来帮助我。这个白名单编码器在哪里?我如何调用它?例如,我需要清理通过 JSON WebAPI 返回的输出。
dot.net core 社区有一个关于此的 wiki。
您可以在控制器级别(在构造函数中)或引用注入编码器System.Text.Encodings.Web
.
更多信息可以在这里查看:
https://learn.microsoft.com/en-us/aspnet/core/security/cross-site-scripting https://learn.microsoft.com/en-us/aspnet/core/security/cross-site-scripting
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)