请问如何预防xss,又保留富文本的格式???
请问如何预防xss,又保留富文本的格式???
我用的是xhEditor,它本身自动为输入内容进行encode。但是,黑客通过定制post
内容(不通过xheditor录入),那么恶意代码就会写入数据库。因此,在后台的
aspx.cs文件必须要进行处理,我用过vs自带的httpUtility的encode,Microsoft的
antiXSS的getSafeHtml,之类吧。结果是:字符安全了,但富文本输出的格式也
没有了。
请问大家:如何在预防xss的同时,又解决富文本正常显示问题?
[解决办法]
SqlParameter
[解决办法]
用UBB格式、、不合法的标签不解析
[解决办法]
1.)在使用到服务器控件时
服务器控件id.ValidateRequestMode = ValidateRequestMode.Disabled
2.)在使用HTML标签时
使用Request.Unvalidated[key]来获取
我今天早上就遇到了这个问题..我用的是ueditor