我正在创建一个Web应用程序,其中textarea控件设置站点另一个区域中某些文本的输出。我希望用户在段落中输入文本,并在输出页面中使用这些文本(最有可能使用<br />标签)。
通常情况下,我只是使用MS AntiXSS库来保护输入(并输出偏执狂),但它会剥离我的换行符。
我一直在尝试创建一些扩展方法,用<br />代码替换换行符,然后进行清理,但这会将我的<br />代码转换为<br> - 我希望我的用于呈现合法HTML的应用程序(没有在 santize之后转换的另一级别的hacks)。
如何呈现有效的HTML并保护自己免受XSS攻击?