Я знаю много вопросов о HTML. дезинфицирующие средства появились в SO, но я не знаю, делают ли они то, что я хочу, у меня небольшой беспорядок, поскольку некоторым из рекомендуемых подходов уже более 4 лет.
У меня есть страница с редактором TinyMCE. Конечно, этот редактор отправляет HTML на сервер и ожидает HTML, поэтому я создал объект со свойством String
, украшенным атрибутом [AllowHtml]
. Это работает хорошо.
Теперь я хочу убедиться, что никто не пытается отправить тег
, или
, или любой другой способ выполнения JS, или добавить CSS, указывающий на внешние URL-адреса.
Какое решение является лучшим на данный момент?
WPL имеет HtmlSanitizationLibrary, но как я могу узнать, какие теги считаются «безопасными»?
WPL ничего не выпускала с апреля прошлого года, это была бета-версия. Так что мне было интересно, активен ли этот проект?
Ура.