假设我有一个简单的ASP.NET MVC博客应用程序,我想允许读者在博客文章中添加评论.如果我想阻止任何类型的XSS恶作剧,我可以对所有注释进行HTML编码,以便在渲染时它们变得无害.但是,如果我想要一些基本功能,如超链接,粗体,斜体等,该怎么办?
我知道的StackOverflow使用大规模杀伤性武器降价编辑器,这似乎是一个伟大的选择.我想要去实现,如果不是因为它支持的事实,双方的HTML和降价这离开它开放的XSS攻击.
如果您不打算使用编辑器,可以考虑使用OWASP的AntiSamy.
你可以在这里运行一个例子:http: //www.antisamy.net/
京公网安备 11010802040832号 | 京ICP备19059560号-6 
