asp.net-mvc – ASP.NET MVC中的HTML清理程序,用于过滤危险的标

我有一个TinyMCE编辑器的页面.当然,这个编辑器将HTML发送到服务器,并期望HTML,所以我创建了一个带有[AllowHtml]属性修饰的String属性的实体.它运作良好.

现在,我想确保没有人试图发送< script> tag,或者< img onerror =“”>,或者执行JS的任何方式,或者添加指向外部URL的CSS.

目前最好的解决方案是什么？

WPL有HtmlSanitizationLibrary,但我怎么知道哪些标签被认为是“安全的”？

WPL从去年四月开始没有发布任何内容,而且是测试版.所以我想知道这个项目是否有效？

干杯.