我正在尝试防止在我的 Web 应用程序后端进行跨站点脚本编写。我正在研究,我遇到了AntiXss nuget库。我注意到有一段时间没有新版本了。我只是在犹豫是否建议使用这个库,或者我是否应该尝试不同的方法。
在 .Net 4.5 及更高版本中,AntiXSS 是框架的一部分,不再是单独的库。它位于System.Web.Security.AntiXss命名空间中,具有原始独立库的几乎所有功能。
文档在这里。
与HttpUtility等其他内置类相比,AntiXss更安全,因为它是基于白名单的编码器,而不是其他类提供的黑名单。
没有进入框架的一部分是Sanitizer,但无论如何都不是很有用。如果需要,还有其他用于 html 清理的库(大多数情况下不是,这是处理用户提供的 html 代码时的特殊情况(。