Библиотека веб-защиты Microsoft (AntiXSS) достиг конца жизни. На странице указано: «В .NET 4.0 версия AntiXSS была включена в платформу и могла быть включена через конфигурацию. В ASP.NET v5 кодировщик на основе белого списка будет единственным кодировщиком».

У меня есть классический сценарий межсайтового скриптинга: решение ASP.Net Core, в котором пользователи могут редактировать текст с помощью WYSIWYG html-редактора. Результат отображается для других, чтобы увидеть. Это означает, что если пользователи вводят JavaScript в данные, которые они отправляют при сохранении текста, этот код может выполняться, когда другие посещают страницу.

Я хочу иметь возможность вносить в белый список определенные HTML-коды (безопасные), но удалять плохие коды.

Как мне это сделать? Я не могу найти какие-либо методы в ASP.Net Core RC2, чтобы помочь мне. Где этот кодировщик белого списка? Как мне это вызвать? Например, мне нужно очистить вывод, возвращаемый через JSON WebAPI.