AntiXSS in ASP.Net Core

Microsoft Web Protection Library (AntiXSS) hat das Lebensende erreicht. Auf der Seite wird angegeben, dass in .NET 4.0 eine Version von AntiXSS im Framework enthalten war und über die Konfiguration aktiviert werden konnte. In ASP.NET v5 ist ein auf einer weißen Liste basierender Encoder der einzige Encode

Ich habe ein klassisches Cross-Site-Scripting-Szenario: Eine ASP.Net Core-Lösung, bei der Benutzer Text mit einem WYSIWYG-HTML-Editor bearbeiten können. Das Ergebnis wird für andere sichtbar angezeigt. Dies bedeutet, dass, wenn Benutzer beim Speichern des Texts ein JavaScript in die von ihnen übermittelten Daten einfügen, dieser Code ausgeführt werden kann, wenn andere Benutzer die Seite besuchen.

Ich möchte in der Lage sein, bestimmte HTML-Codes (sichere) auf die Whitelist zu setzen, aber fehlerhafte Codes entfernen.

Wie mache ich das? Ich kann in ASP.Net Core RC2 keine Methoden finden, die mir helfen. Wo ist dieser Whitelist-Encoder? Wie rufe ich es auf? Zum Beispiel müsste ich die Ausgabe bereinigen, die über JSON WebAPI zurückgegeben wird.

Antworten auf die Frage(8)

Ihre Antwort auf die Frage