Microsoft的AntiXSS库已经破坏了6个月,看起来被遗弃了(可能是也可能不是正式的情况)。由于以前版本的安全问题,回滚到早期版本是不安全的。在使用 Microsoft(特别是 MVC)堆栈时,是否有任何针对 AntiXSS 和 Web 安全的良好积极开发的替代方案?
2012 年 6 月发布的 ajax 控制工具包附带了一个新的 xss 清理器。 该工具包最初也使用Microsoft Anti XSS库,因此他们遇到了同样的问题。 新的清理器基于HtmlAgilityPack。
请参阅 http://stephenwalther.com/archive/2012/06/25/announcing-the-june-2012-release-of-the-ajax-control-toolkit.aspx
我有同样的问题,我一直在寻找解决方案,但没有找到其他任何东西。
基本上,我认为前进的唯一选择是使用某种类型的大规模杀伤性武器(就像他们在 Stackoverflow 上所做的那样)......将其作为WMD标记发送回服务器,然后将其作为HTML保存在数据库中,然后在将其吐出服务器页面上时将其转换为HTML。
这可能是一个好的开始:http://code.google.com/p/pagedown/
WPL有一个非官方端口称为AntiXSS.NetStandard,支持.NET Standard 2.0(.NET Core 2.0+,.NET Framework 4.6.1)中的AntiXSS。