В этой статье я заметил, что Microsoft делает Не рекомендуется использовать элемент управления Editor из Ajax Control Toolkit на общедоступных сайтах из-за опасности атак с использованием межсайтовых сценариев. Я попробовал это, и даже если вы специально установите NoScript = "true", можно добавить скрипт и, следовательно, ввести уязвимости атаки XSS. В моей ситуации мы работаем над процессом подачи заявки на стипендию, и мы надеялись использовать это для всех номинантов, чтобы напечатать эссе онлайн. Мы хотели взять данные и повторно отобразить их на обзорной доске, но, очевидно, это плохая идея.
Поэтому мне интересно, знает ли кто-нибудь простой способ проверки содержимого для разрешения HTML, но не сценария, возможно, с использованием CustomValidator или регулярного выражения, которое я могу использовать в коде программной части. Я знаю, что лучше сделать проверку в белом списке, а не в черном списке, я специально ищу это.
В качестве альтернативы, если кто-то знает о подобном элементе управления, который действительно защищает от XSS-атак, это тоже было бы хорошо.