В целях предотвращения атак XSS я обновляю страницу, на которой у нас есть текстовое поле, которое принимает HTML, сохраняет его в базе данных, а затем извлекает и отображает его.
Насколько я понимаю, я могу дезинфицировать HTML, используя метод AntiXSS.GetSafeHtmlFragment()
. До тех пор, пока я делаю это перед сохранением HTML в базе данных, мне предоставляется покрытие? Нужно ли что-то делать, когда HTML выводится на веб-странице?
Кроме того, похоже, что белый список является своего рода черным ящиком. Есть ли способ обновить это на основе наших требований?