在 ASP.NET 中，我们有请求验证，但在 ASP.NET Core 中没有这样的东西。我们如何才能以最佳方式保护 ASP.NET Core 应用免受 XSS 攻击？请求验证消失了：https : //nvisium.com/resources/blog/2017/08/08/dude-wheres-my-request-validation.html - 这家伙推荐 RegExModels如下：[RegularExpression(@"^[a-zA-Z0-9 -']*$", ErrorMessage = "Invalid characters detected")]public string Name { get; set; }...但这不适用于全球化/国际化，即非拉丁字符，如æ、ø å 汉字。X-XSS 要做 >limited< XSS-protection：https : //dotnetcoretutorials.com/2017/01/10/set-x-xss-protection-asp-net-core/像这样，但只有有限的支持 afaik：public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory){    app.Use(async (context, next) =>    {        context.Response.Headers.Add("X-Xss-Protection", "1");        await next();    });    app.UseMvc();}Microsoft 的文档已有两年历史：https : //docs.microsoft.com/en-us/aspnet/core/security/cross-site-scripting?view=aspnetcore-2.1并没有真正涵盖它。我正在考虑做一些简单的事情，例如：myField = myField.Replace('<','').Replace('>','').Replace('&','').Repl...;在所有数据提交上 - 但它似乎有点不稳定。我向 Microsoft 提出了同样的问题，但我很想听听人们如何在现实生活中的应用程序中解决这个问题。更新：我们正在努力完成的事情：在我们的应用程序中，我们有网络表单，人们可以在其中输入姓名、电子邮件、内容等。数据存储在数据库中，并将在前端系统和未来可能的其他系统（如 RSS 提要、JSON 等）上查看。一些表单包含富文本编辑器（tinymce）并允许用户标记他们的文本。恶意用户可以<script>alert('evil stuff');</script>在字段中输入。在 ASP.NET Core 中的邪恶字符到达数据库之前去除它的最佳方法是什么 - 我更喜欢邪恶脚本根本不存储在数据库中。我认为这样的事情可以工作：const string RegExInvalidCharacters = @"[^&<>\""'/]*$";[RegularExpression(RegExInvalidCharacters, ErrorMessage = "InvalidCharacters")]public string Name { get; set; }[RegularExpression(RegExInvalidCharacters, ErrorMessage = "InvalidCharacters")]public string Content { get; set; }...