AntiXSS в ядре ASP.Net
Библиотека веб-защиты Microsoft (AntiXSS) достиг конца жизни. На странице указано: «В .NET 4.0 версия AntiXSS была включена в платформу и могла быть включена через конфигурацию. В ASP.NET v5 кодировщик на основе белого списка будет единственным кодировщиком».
У меня есть классический сценарий межсайтового скриптинга: решение ASP.Net Core, в котором пользователи могут редактировать текст с помощью WYSIWYG html-редактора. Результат отображается для других, чтобы увидеть. Это означает, что если пользователи вводят JavaScript в данные, которые они отправляют при сохранении текста, этот код может выполняться, когда другие посещают страницу.
Я хочу иметь возможность вносить в белый список определенные HTML-коды (безопасные), но удалять плохие коды.
Как мне это сделать? Я не могу найти какие-либо методы в ASP.Net Core RC2, чтобы помочь мне. Где этот кодировщик белого списка? Как мне это вызвать? Например, мне нужно очистить вывод, возвращаемый через JSON WebAPI.