Biblioteca de Proteção da Web da Microsoft (AntiXSS) chegou ao fim da vida. A página afirma "No .NET 4.0, uma versão do AntiXSS foi incluída na estrutura e pode ser ativada via configuração. No ASP.NET v5, um codificador baseado em lista branca será o único codificador".

Eu tenho um cenário clássico de script entre sites: Uma solução ASP.Net Core em que os usuários podem editar texto usando um editor de HTML WYSIWYG. O resultado é exibido para outras pessoas verem. Isso significa que, se os usuários injetarem JavaScript nos dados que enviarem ao salvar o texto, esse código poderá ser executado quando outros visitarem a página.

Quero poder colocar na lista branca certos códigos HTML (códigos seguros), mas retirar códigos ruins.

Como eu faço isso? Não consigo encontrar nenhum método no ASP.Net Core RC2 para me ajudar. Onde está esse codificador da lista branca? Como eu o invoco? Por exemplo, eu precisaria limpar a saída retornada via JSON WebAPI.