Estoy tratando de encontrar maneras de desinfectar la entrada del editor WMD.WMD editor sanitizing
Específicamente, intento que las etiquetas HTML solo estén disponibles en las etiquetas <code>
que genera WMD. Es posible
Mi problema es que el siguiente código se representa como HTML, que es vunerable al potencial XSS attacks.
Por ejemplo, <a onmouseover="alert(1)" href="#">read this!</a>
El código anterior renders normalmente tanto en el modo de vista previa y cuando se guardan en la base de datos.
Me di cuenta de que Stack Overflow no parece tener este problema. El mismo código simplemente se representa como texto.
Me di cuenta de que el equipo de Stack Overflow ha compartido su código en http://refactormycode.com/codes/333-sanitize-html. ¿Realmente tengo que usar C# para desinfectar WMD para hacer esto?
nadie puede responder mi pregunta? nadie hizo esto antes? –