Con la intención de prevenir ataques XSS, estoy actualizando una página en la que tenemos un cuadro de texto que acepta HTML, lo almacena en una base de datos y lo recupera y procesa posteriormente.Uso de la biblioteca MS Anti XSS para desinfectar HTML
Según tengo entendido, puedo desinfectar el HTML utilizando el método AntiXSS.GetSafeHtmlFragment()
. Mientras haga esto antes de almacenar el HTML en la base de datos, ¿estoy cubierto? ¿Debo hacer algo cuando el HTML se muestre en una página web?
Además, parece que la lista blanca es una especie de cuadro negro. ¿Hay alguna forma de actualizar esto en función de nuestros requisitos?
Desafortunadamente, AntiXSS.GetSafeHtmlFragment() volvió a ser vulnerables en la versión más antigua e inútil en la versión nueva (tiras de TI casi todas las etiquetas HTML posibles). – BornToCode