使用MVC,EF 4.2。我正在研究一個有評論部分的應用程序。現在,如果用戶輸入包含HTML的評論,例如如何讓用戶輸入html註釋
<b>text</b>
和點擊提交我得到的消息 「檢測到ptentially危險的Request.Form值...」
- 如何處理HTML的方式進入數據庫?我應該剝離HTML嗎?或者編碼它?我嘗試了server.htmlencode文本,但我仍然有相同的錯誤消息。
我看過關於此事的一些職位,其中包括一些在這裏SO - this one和this one
理想的情況下,我希望能夠讓html標籤數量有限,如EM強, 一個。反XSS,HTML敏捷性,某種BB代碼或降價樣式編輯器是否仍然是推薦的方式?我知道傑夫有一個白名單的代碼 - 但它已經有幾年了。
我看了那些屬性,但他們不會允許通過評論提交XSS和惡意代碼的可能性? –
這是折衷的,如果你使用舊的視圖引擎(我忘了名字),你可以編寫'<%:Html.TextBoxFor%>'它會編碼這個值,或者如果你使用的是razor'@'語法它將編碼html – Rafay
如果您擔心xss和其他代碼查看[Microsoft的Anti-XSS](http://wpl.codeplex.com/)庫 – Buildstarted