Sto cercando di trovare modi per disinfettare l'input dell'editor WMD.Editor WMD sterilizzante
In particolare, sto cercando di rendere i tag HTML disponibili solo nei tag <code>
generati da WMD. È possibile
Il mio problema è che il codice seguente è reso come HTML che è vunerabile al potenziale XSS attacks.
Ad esempio, <a onmouseover="alert(1)" href="#">read this!</a>
Il codice sopra rende normalmente sia in modalità di anteprima e quando salvati nel database.
Ho notato che Stack Overflow non sembra avere questo problema. Lo stesso codice è appena visualizzato come testo.
Ho notato che il team Overflow dello stack ha condiviso il codice in http://refactormycode.com/codes/333-sanitize-html. Devo davvero usare C# per disinfettare le WMD?
nessuno può rispondere alla mia domanda? nessuno l'ha fatto prima? –