我在本文中注意到, Microsoft 不建议在公共站点中使用 Ajax Control Toolkit 中的 Editor 控件,因为存在跨站点脚本攻击的危险。我试了一下,即使你专门设置了 NoScript="true" 也可以添加脚本,因此引入了 XSS 攻击漏洞。在我的情况下,我们正在研究奖学金申请流程,我们曾希望将其用于所有被提名者以在线输入论文。我们想把数据重新展示给审查委员会,但显然,这是个坏主意。
所以我想知道是否有人知道一种简单的方法来验证内容以允许 HTML,而不是脚本,也许使用我可以在代码隐藏中使用的 CustomValidator 或正则表达式。我知道最好进行白名单验证而不是黑名单验证,我正在专门寻找它。
或者,如果有人知道可以防止 XSS 攻击的类似控件,那也很好。