J'ai remarqué dans l'article this que Microsoft ne recommande pas d'utiliser le contrôle Editeur d'Ajax Control Toolkit dans les sites publics en raison du danger d'attaques par script intersite. Je l'ai essayé, et même si vous avez spécifiquement défini NoScript = "true", il est possible d'ajouter un script, et donc d'introduire des vulnérabilités d'attaque XSS. Dans ma situation, nous travaillons sur un processus de demande de bourse, et nous avions espéré utiliser cela à tous les candidats pour taper un essai en ligne. Nous voulions prendre les données et les afficher de nouveau au comité de révision, mais évidemment, c'est une mauvaise idée. Donc, je me demande si quelqu'un connaît une façon simple de valider le contenu pour permettre le HTML, mais pas le script, peut-être en utilisant un CustomValidator ou une expression régulière que je peux utiliser dans le code-behind. Je suis conscient qu'il est préférable de valider la liste blanche et non la validation de la liste noire. Alternativement, si quelqu'un est conscient d'un contrôle similaire qui protège contre les attaques XSS, ce serait également bien.Ajax Control Toolkit Éditeur contrôle - éviter les attaques XSS
1
A
Répondre
4
La dernière version de la bibliothèque AntiXSS fait maintenant de la désinfection HTML qui, je pense, fera ce que vous voulez. Jetez un oeil au blog de Blowdart dessus here.
MISE A JOUR 15 septembre 2015:
Le AntiXSS se est roulé dans le .Net 4.0 Framework, activez-le dans votre fichier .config
.
Questions connexes
- 1. Éditeur HTML - Ajax Ajax Control ToolKit
- 2. DataBinding du contrôle d'évaluation AJAX Control Toolkit
- 3. Ajax Control Toolkit Contrôle du calendrier CSS
- 4. Un éditeur WYSIWYG avec prévention des attaques XSS?
- 5. ASP.NET AJAX Control Toolkit - Modifier l'apparence du contrôle AsyncFileUpload?
- 6. Ajax Control Toolkit - Outilscriptmanager non disponible
- 7. Événements pour le contrôle HTMLEditor dans ASP.NET AJAX Control Toolkit?
- 8. Désinfecter les paramètres $ _GET pour éviter les attaques XSS et autres
- 9. ASP.NET AJAX Control Toolkit: conditionnel ModalPopup
- 10. AJAX Toolkit Contrôle question: CollapsiblePanelExtender
- 11. Définition du focus avec ASP.NET AJAX Control Toolkit
- 12. Problème lors de l'exécution de Ajax Control Toolkit
- 13. Problème avec MaskedEdit de Ajax Control Toolkit - culture différente
- 14. Ajax Control Toolkit Composant TAB - Javascript le casse?
- 15. Réglage style sélectionné dans AJAX Control Toolkit - TabContainer
- 16. Ajax ToolKit Tabpanel Erreur
- 17. Utilisation avancée d'Ajax Toolkit contrôle MaskedEdit Extender
- 18. ASP.net AJAX Control Toolkit ne reconnaîtra pas mes classes css spécifiées dans l'extendeur autocomlete?
- 19. Ajax Dial Control?
- 20. Comment puis-je trouver la version de mon numéro de MS ASP.NET AJAX Control Toolkit?
- 21. Comment obtenez-vous le texte dans le nouveau HTMLEditor dans ASP.Net Ajax Control Toolkit?
- 22. Symboles de débogage de Silverlight Control Toolkit
- 23. Silverlight Control Toolkit TreeView ne rend pas les éléments
- 24. Textes/codes pour tester les attaques XSS dans mon logiciel/site Web
- 25. combiner des scripts dans asp.net ajax toolkit
- 26. Ajax Control Toolkit - Utiliser le bouton côté client pour activer l'onglet
- 27. Comment ajouter Ajax Control Toolkit à Visual Web Developer Express 2008
- 28. décapage Ajax Control Toolkit AutoCompleteExtender zéros et venir avec des valeurs fantôme
- 29. AJAX Control Toolkit: TabContainer à l'intérieur de Multiview, problème de style de bouton d'onglet
- 30. Modifier dynamiquement ajax toolkit ValidatorCalloutExtender
Merci! Je regarde en ce moment. – David
Man c'est dommage que vous ne pouvez pas voter quelqu'un plus d'une fois. C'est génial .. Je ne peux pas croire que je n'ai jamais regardé cela avant. Je me suis toujours contenté d'utiliser la validation pour désinfecter mon entrée et d'utiliser HtmlEncode le cas échéant, mais c'est encore mieux. De meilleures performances, plus la nouvelle fonction GetSafeHtmlFragment() fonctionne dans ce scénario! Merci encore! – David
Pas que je ne vais pas désinfecter l'entrée et prendre toutes les précautions. C'est juste un outil supplémentaire agréable à avoir. – David