请教怎么预防xss,又保留富文本的格式?
日期:2014-05-17 浏览次数:20652 次
请问如何预防xss,又保留富文本的格式???
请问如何预防xss,又保留富文本的格式???
我用的是xhEditor,它本身自动为输入内容进行encode。但是,黑客通过定制post
内容(不通过xheditor录入),那么恶意代码就会写入数据库。因此,在后台的
aspx.cs文件必须要进行处理,我用过vs自带的httpUtility的encode,Microsoft的
antiXSS的getSafeHtml,之类吧。结果是:字符安全了,但富文本输出的格式也
没有了。
请问大家:如何在预防xss的同时,又解决富文本正常显示问题?
------解决方案--------------------
SqlParameter
------解决方案--------------------
用UBB格式、、不合法的标签不解析
------解决方案--------------------
1.)在使用到服务器控件时
服务器控件id.ValidateRequestMode = ValidateRequestMode.Disabled
2.)在使用HTML标签时
使用Request.Unvalidated[key]来获取
我今天早上就遇到了这个问题..我用的是ueditor
请问如何预防xss,又保留富文本的格式???
我用的是xhEditor,它本身自动为输入内容进行encode。但是,黑客通过定制post
内容(不通过xheditor录入),那么恶意代码就会写入数据库。因此,在后台的
aspx.cs文件必须要进行处理,我用过vs自带的httpUtility的encode,Microsoft的
antiXSS的getSafeHtml,之类吧。结果是:字符安全了,但富文本输出的格式也
没有了。
请问大家:如何在预防xss的同时,又解决富文本正常显示问题?
------解决方案--------------------
SqlParameter
------解决方案--------------------
用UBB格式、、不合法的标签不解析
------解决方案--------------------
1.)在使用到服务器控件时
服务器控件id.ValidateRequestMode = ValidateRequestMode.Disabled
2.)在使用HTML标签时
使用Request.Unvalidated[key]来获取
我今天早上就遇到了这个问题..我用的是ueditor
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
