我試圖找到消除WMD編輯器輸入的方法。大規模殺傷性武器編輯器消毒
具體而言,我試圖製作HTML標記只在WMD生成的<code>
標記中可用。這是可能的
我的問題是,下面的代碼呈現爲HTML,這是潛在的XSS attacks。
例如,<a onmouseover="alert(1)" href="#">read this!</a>
上述代碼在預覽模式下,通常都呈現,並且當保存到數據庫中。
我注意到堆棧溢出似乎沒有這個問題。相同的代碼只是呈現爲文本。
我注意到Stack Overflow團隊在http://refactormycode.com/codes/333-sanitize-html中分享了他們的代碼。我是否真的必須使用C#來消毒WMD才能做到這一點?
noone可以回答我的問題嗎?沒有人做過? – 2010-05-06 12:01:18