Как предотвратить XSS при разрешении простого форматирования и гиперссылки в веб-части Sharepoint?

Question

Я создаю веб-часть для сайта Sharepoint, которая позволяет пользователю вводить информацию в текстовое поле, которое в конечном итоге будет показано другим пользователям. Проблема в том, что мне нужно разрешить простое форматирование (полужирный, курсив и т. Д.), А также разрешить пользователю вводить URL-адрес (

What are my best alternatives when not wanting to write a fully fledged html parser?

There is a

SPHttpUtility.HtmlEncodeAllowSimpleTextFormatting (string) , который делает почти то, что мне нужно. Он позволяет простое форматирование например, , и т. д. Проблема в том, что я также хочу разрешить гиперссылки. Кто-нибудь знает, есть ли в Sharepoint / ASP.NET встроенные функции, которые делают то, что я хочу?

Если я включаю «Расширенный расширенный текст» в столбце «Несколько строк текста» в списке Sharepoint, кажется, он делает именно то, что мне нужно (он позволяет форматировать и гиперссылки, но не злые вещи), но я не могу понять, как и где он это делает?

Answer 1

У Microsoft есть проект в CodePlex под названием AntiXSS , который, кажется, делает то, что я хочу.

Тем не менее, он допускает больше html, чем мне нужно (я не мог найти способ контролировать, что разрешить, возможно, я не смотрел везде), но я думаю, что это может быть хорошим решением в любом случае.