1

この記事で、マイクロソフトは、クロスサイト スクリプティング攻撃の危険性があるため、公開サイトで Ajax コントロール ツールキットのエディター コントロールを使用することを推奨していないことに気付きました。試してみたところ、具体的に NoScript="true" に設定してもスクリプトを追加できるため、XSS 攻撃の脆弱性が発生します。私の状況では、奨学金の申請プロセスに取り組んでおり、これを使用してすべての候補者がオンラインでエッセイを入力できるようにしたいと考えていました。データを取得して審査委員会に再表示したかったのですが、明らかにこれは悪い考えです。

したがって、コード ビハインドで使用できる CustomValidator または正規表現を使用して、スクリプトではなく HTML を許可するようにコンテンツを検証する簡単な方法を誰かが知っているかどうか疑問に思っています。検証をブラックリストに登録するのではなく、検証をホワイトリストに登録する方がよいことは承知しています。具体的にはそれを探しています。

または、XSS 攻撃から保護する同様のコントロールを知っている人がいれば、それも良いでしょう。

4

1 に答える 1

4

AntiXSSライブラリの最新リリースでは、HTMLのサニタイズが行われるようになりました。これにより、必要な処理が実行されると思います。こちらでBlowdartのブログをご覧ください

更新2015年9月15日:
AntiXSSが.Net 4.0フレームワークに組み込まれ、ファイルで有効にし.configます。

于 2009-10-01T13:58:14.707 に答える