Dans le but d'empêcher les attaques XSS, je suis en train de mettre à jour une page dans laquelle nous avons une zone de texte acceptant le HTML, la stocke dans une base de données et la restitue plus tard.Utilisation de la bibliothèque MS Anti XSS pour la désinfection HTML
Ma compréhension est que je peux assainir le HTML en utilisant la méthode AntiXSS.GetSafeHtmlFragment()
. Tant que je le fais avant de stocker le code HTML dans la base de données, suis-je couvert? Ai-je besoin de faire quoi que ce soit lorsque le HTML est sorti sur une page Web?
En outre, il semble que la liste blanche est une sorte de boîte noire. Existe-t-il un moyen de mettre à jour ceci en fonction de nos exigences?
Malheureusement, AntiXSS.GetSafeHtmlFragment() tourné pour être vulnérables en version plus ancienne et inutile en version plus récente (elle bandes presque toutes les balises HTML possibles). – BornToCode