是否有库或可接受的方法来清理html页面的输入?
在这种情况下,我有一个只有姓名,电话号码和电子邮件地址的表单.
代码必须是C#.
例如:
"<script src='bobs.js'>John Doe</script>" 应该成为 "John Doe"
我知道关于HTML消毒剂的很多问题已经出现在SO中,但是我不知道他们是否做了我想做的事情,因为一些推荐的方法已经超过4年了,所以我有点乱.
我有一个TinyMCE编辑器的页面.当然,这个编辑器将HTML发送到服务器,并期望HTML,所以我创建了一个带有String属性的[AllowHtml]属性实体.它运作良好.
现在,我想确保没有人尝试发送<script>标签,或者<img onerror="">执行JS的任何方式,或者添加指向外部URL的CSS.
目前最好的解决方案是什么?
WPL有HtmlSanitizationLibrary,但我怎么知道哪些标签被认为是"安全的"?
WPL从去年四月开始没有发布任何内容,而且是测试版.所以我想知道这个项目是否有效?
干杯.