我有一个 markdown 文本区域(就像 stackoverflow 一样),我想允许这样的代码示例:
<script>alert('Hello world')</script>
以及基本的 html 格式,如
<b>bold text</b>如何进行验证和编码,以便既防止XSS攻击,又允许上述场景?
我知道有 HTML Sanitizer,但默认情况下它可能无法使用 Markdown 格式。
https://jason.sultana.net.au/dotnet/security/apis/2021/09/26/preventing-xss-in-netcore-webapi.html
对你有帮助吗?它使用前面介绍的 HtmlSanitizer 包来清理每个字符串,如果清理后的字符串与原始字符串不同