मैंने एक्सएसएस के संबंध में एसओ पर बहुत सारी पोस्टिंग और कैसे निपटने के लिए पढ़ा है। आम तौर पर, सर्वसम्मति ब्लैकलिस्ट पर श्वेतसूची है और नियमित अभिव्यक्तियों का उपयोग करने से बचती है (इससे निपटने के लिए बहुत से प्रकार)।टिनीएमसीई, एंटीएक्सएसएस, एमवीसी 3 और गेटसेफ एचटीएमएल फ्रैगमेंट
मैं एएसपी.NET MVC3 एप्लिकेशन पर काम कर रहा हूं। मुझे उपयोगकर्ता प्रविष्टि से एचटीएमएल प्रदर्शित करने में सक्षम होना चाहिए (उदा। < मजबूत>, < उल>, < li>, आदि ...) लेकिन मुझे कोई एक्सएसएस जोखिम नहीं चाहिए।
मैं Nuget के माध्यम से AntiXSS पैकेज का उपयोग कर रहा हूं। मेरे मॉडल में, मेरे पास
[AllowHtml]
public string UserDetails{ get; set; }
मेरे विचार में, मेरे पास TinyMCE textarea में लगा हुआ है।
मेरी नियंत्रक में, मैं दृश्य से पद मिलता है और यह स्वच्छ:
using Microsoft.Security.Application;
...
string SanitizedDetails = Sanitizer.GetSafeHtmlFragment(model.UserDetails);
मेरा प्रश्न: मैं इसे सही किया? क्या मैं अधिकांश एक्सएसएस मुद्दों से सुरक्षित हूं या क्या मैं गलत पेड़ को भड़क रहा हूं?