- موتور سیستم اعتبارسنجی خودکار ورودیها در ASP.NET قابل تغییر است (حالا چه نگارش قدیمی آن باشد، چه AntiXss جدید). اما این موتور به صورت پیش فرض به هر نوع تگی عکس العمل نشان میدهد. یعنی شما نمیتوانید متن HTMLایی ارسال کنید بدون خاموش کردن یا تغییر بسیاری از پیشفرضهای آن (مقدمه بحث). مثلا در ASP.NET MVC با استفاده از ویژگی AllowHtml میشود فقط یک خاصیت را جهت ارسال HTML مجاز دانست (از این لحاظ نسبت به Webforms بهتر عمل میکند؛ چون مجبور نیستید به ازای یک صفحه یا حتی کل سایت این اعتبارسنجی را خاموش کنید).
- با استفاده از کلاسها و متدهای AntiXss هم میشود دستی HTML را تمیز کرد و خروجی امن گرفت (کاری که ابتدا در کدهای متن انجام شده بود و هنوز هم قابل مشاهده است). اما این خروجی تهیه شده توسط AntiXss، یک سری اضافات و دخل و تصرفهایی دارد که خوشایند نیست. کامنتهای مطلب را از ابتدا مطالعه کنید تا به سیر منطقی رسیدن به کتابخانه
Clean HTML تهیه شده برسید.