使用MVC,EF 4.2。我正在研究一个有评论部分的应用程序。现在,如果用户输入包含HTML的评论,例如如何让用户输入html注释
<b>text</b>
和点击提交我得到的消息 “检测到ptentially危险的Request.Form值...”
- 如何处理HTML的方式进入数据库?我应该剥离HTML吗?或者编码它?我尝试了server.htmlencode文本,但我仍然有相同的错误消息。
我看过关于此事的一些职位,其中包括一些在这里SO - this one和this one
理想的情况下,我希望能够让html标签数量有限,如EM强, 一个。反XSS,HTML敏捷性,某种BB代码或降价样式编辑器是否仍然是推荐的方式?我知道杰夫有一个白名单的代码 - 但它已经有几年了。
我看了那些属性,但他们不会允许通过评论提交XSS和恶意代码的可能性? –
这是折衷的,如果你使用旧的视图引擎(我忘了名字),你可以编写'<%:Html.TextBoxFor%>'它会编码这个值,或者如果你使用的是razor'@'语法它将编码html – Rafay
如果您担心xss和其他代码查看[Microsoft的Anti-XSS](http://wpl.codeplex.com/)库 – Buildstarted