Microsoft Web Protection Library(AntiXSS)已达到使用寿命终止.该页面指出"在.NET 4.0中,AntiXSS的一个版本包含在框架中,可以通过配置启用.在ASP.NET v5中,基于白名单的编码器将是唯一的编码器."
我有一个经典的跨站点脚本方案:一个ASP.Net Core解决方案,用户可以使用WYSIWYG html编辑器编辑文本.显示结果供其他人查看.这意味着如果用户在保存文本时将JavaScript注入其提交的数据中,则此代码可在其他人访问该页面时执行.
我希望能够将某些HTML代码(安全的代码)列入白名单,但删除不良代码.
我该怎么做呢?我在ASP.Net Core RC2中找不到任何方法来帮助我.这个白名单编码器在哪里?我该如何调用它?例如,我需要清理通过JSON WebAPI返回的输出.