3
我想允許我的Web應用程序的最終用戶修改存儲在數據庫中的視圖(通過基於Web的後臺)。 期望的視圖引擎預計是代碼注入安全的,這意味着最終用戶將被限制爲絕對最小數量的可用表達式,不允許插入服務器代碼。選擇MVC視圖引擎
是否有任何適合的視圖引擎可供下載?
A
回答
2
我不知道任何現有的發動機,但菲爾哈克對存儲在數據庫中的意見後:http://haacked.com/archive/2009/04/22/scripted-db-views.aspx
該職位與用戶創建的意見想法的交易。如果你想防範XSS風格的代碼注入攻擊,你可以使用sanitize your HTML。
相關問題
- 1. ASP.NET MVC 3:視圖引擎的設計選擇
- 2. 選擇春季mvc項目的完美視圖引擎
- 3. ASP.net MVC獲取當前視圖引擎
- 4. JavaScript和MVC 3 Razor視圖引擎
- 5. For循環Spark視圖引擎/ ASP.NET MVC
- 6. ASP.NET MVC 2自定義視圖引擎
- 7. MVC 3 Razor視圖引擎格式
- 8. ASP.NET MVC剃刀視圖引擎
- 9. ASP.NET MVC從aspx視圖引擎遷移到剃鬚刀視圖引擎
- 10. JavaScript-DOM選擇器引擎
- 11. iOS遊戲引擎選擇
- 12. 將MVC 2 ASPX轉換爲MVC 4 Razor視圖引擎
- 13. Razor視圖引擎的首選視圖位置
- 14. 如何使在asp.net mvc的結構圖供電視圖引擎
- 15. Vue.js ExpressJS視圖引擎
- 16. 在MVC3 Razor視圖引擎
- 17. 使用Razor視圖引擎
- 18. 刀片式視圖引擎
- 19. 與Razor視圖引擎
- 20. Razor視圖引擎語法
- 21. MVC3剃刀視圖引擎
- 22. Razor視圖引擎RenderSection
- 23. WebForms視圖引擎文檔?
- 24. 引導選擇與預期有angularjs MVC局部視圖
- 25. 可以在搜索視圖時交錯兩個MVC視圖引擎嗎?
- 26. MVC(火花視圖引擎)x和m有什麼區別?
- 27. 在MVC 3中使用Razor View引擎渲染部分視圖
- 28. ASP.NET MVC自定義視圖引擎沒有被調用
- 29. 什麼是最好的ASP.NET MVC視圖引擎?
- 30. MVC 3 Razor視圖引擎 - 腳本塊出現DOCTYPE
儘快讓我的應用程序的最終用戶能夠修改視圖,他們可以將服務器代碼插入到視圖中(例如,如果我使用spark view-engine:通過使用如下語法:
!{SERVER_CODE_THAT_CAN_DO_ANYTHING_UNSECURE}
) 所以,在這裏我的Web服務器上有安全漏洞。 – leonard 2010-03-31 19:58:35這就是第二個環節 - 傑夫阿特伍德自己告訴你如何去除邪惡的東西。請注意,服務器本身不會使用ASP.NET MVC執行任何操作。您主要關心的是JavaScript XSS攻擊。 – 2010-03-31 20:01:03