Biblioteca de protección web de Microsoft (AntiXSS) ha llegado al final de la vida. La página dice "En .NET 4.0 se incluyó una versión de AntiXSS en el marco y se pudo habilitar mediante la configuración. En ASP.NET v5, un codificador basado en una lista blanca será el único codificador".

Tengo un escenario clásico de secuencias de comandos entre sitios: una solución ASP.Net Core donde los usuarios pueden editar texto usando un editor html WYSIWYG. El resultado se muestra para que otros lo vean. Esto significa que si los usuarios inyectan un JavaScript en los datos que envían al guardar el texto, este código podría ejecutarse cuando otros visiten la página.

Quiero poder incluir en la lista blanca ciertos códigos HTML (seguros), pero eliminar los códigos incorrectos.

¿Cómo hago esto? No puedo encontrar ningún método en ASP.Net Core RC2 para ayudarme. ¿Dónde está este codificador de lista blanca? ¿Cómo lo invoco? Por ejemplo, necesitaría limpiar la salida que se devuelve a través de JSON WebAPI.