gpt4 book ai didi

xss - ASP.Net Core 中的 AntiXSS

转载 作者:行者123 更新时间:2023-12-03 21:41:36 27 4
gpt4 key购买 nike

Microsoft Web Protection Library (AntiXSS)已达到生命的尽头。该页面指出“在 .NET 4.0 中,框架中包含一个版本的 AntiXSS,可以通过配置启用。在 ASP.NET v5 中,基于白名单的编码器将是唯一的编码器。”

我有一个经典的跨站点脚本场景:一个 ASP.Net Core 解决方案,用户可以使用 WYSIWYG html 编辑器编辑文本。结果显示给其他人查看。这意味着如果用户在保存文本时将 JavaScript 注入(inject)到他们提交的数据中,则该代码可以在其他人访问该页面时执行。

我希望能够将某些 HTML 代码(安全代码)列入白名单,但去除不良代码。

我该怎么做呢?我在 ASP.Net Core RC2 中找不到任何方法来帮助我。这个白名单编码器在哪里?我该如何调用它?例如,我需要清理通过 JSON WebAPI 返回的输出。

最佳答案

dot.net 核心社区对此有一个 wiki。

您可以在 Controller 级别(在构造函数中)注入(inject)编码器或引用 System.Text.Encodings.Web .

更多信息可以在这里看到:

https://docs.microsoft.com/en-us/aspnet/core/security/cross-site-scripting

关于xss - ASP.Net Core 中的 AntiXSS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37923431/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com