Я заметил в этой статье, что Microsoft не рекомендует использовать элемент управления Editor из Ajax Control Toolkit на публичных сайтах из-за опасности атак с использованием межсайтовых сценариев. Я попробовал это, и даже если вы специально установили NoScript = "true", можно добавить сценарий и, следовательно, представить уязвимости атаки XSS. В моей ситуации мы работаем над процессом подачи заявки на стипендию, и мы надеялись использовать это для всех кандидатов, чтобы напечатать эссе онлайн. Мы хотели взять данные и повторно отобразить их на доске обзора, но, очевидно, это плохая идея.
Так что мне интересно, знает ли кто-нибудь простой способ проверки содержимого для разрешения HTML, но не сценария, возможно, с использованием CustomValidator или Regular Expression, который я могу использовать в коде позади. Я знаю, что лучше проверять белый список, а не черный, я специально это ищу.
В качестве альтернативы, если кто-либо знает о подобном элементе управления, который защищает от XSS-атак, это тоже было бы хорошо.