无需HTML编码即可安全地呈现HTML
|
假设您要允许非技术用户控制显示在公共站点/应用程序上的内容。如果内容仅是文本,则可以在显示文本时对文本进行HTML编码,以防止恶意脚本在进入数据库后被执行。
当您想将数据显示为HTML时(即通过“所见即所得”编辑器输入数据时),可以使用哪些选项来防止这种情况?每次我要显示数据时,我都必须用黑名单清除数据吗?
另外,假设数据已经被破坏。当HTML编码不可行时,我真的在寻找方法来限制这种攻击所造成的损害。
出于我的目的,该站点正在运行ASP.NET MVC 3,并且正在使用jQuery。
没有找到相关结果
已邀请:
1 个回复
谦响局豢报