【发布时间】:2009-10-01 13:26:14
【问题描述】:
我在this 文章中注意到,由于存在跨站点脚本攻击的危险,Microsoft 不建议在公共站点中使用 Ajax 控件工具包中的编辑器控件。我试了一下,即使你专门设置了 NoScript="true" 也可以添加脚本,因此引入了 XSS 攻击漏洞。在我的情况下,我们正在研究奖学金申请流程,我们曾希望将其用于所有被提名者以在线输入论文。我们想获取数据并将其重新展示给审查委员会,但显然这是个坏主意。
所以我想知道是否有人知道一种简单的方法来验证内容以允许 HTML,但不允许使用脚本,也许使用我可以在代码隐藏中使用的 CustomValidator 或正则表达式。我知道最好是白名单验证而不是黑名单验证,'我正在专门寻找那个。
或者,如果有人知道可以防止 XSS 攻击的类似控件,那也很好。
【问题讨论】:
标签: asp.net regex xss security html-editor