Question

Я хочу, чтобы пользователь вводил текст, и я хотел бы показать текст обратно пользователю и сохранить все пробелы. Я не хочу никаких подвигов, и пользователь вводит html или javascript. HttpUtility.HtmlEncode достаточно безопасен для использования? Банкомат выглядит корректно, так как правильно кодирует < > и другие тестовые буквы. Для правильного отображения текста, что я использую? сейчас я использую <pre><code>. Выглядит хорошо, это правильный способ отображения?

Jonathan Wood · Answer 1 · 19 декабря 2010

HtmlEncode должен быть защищен насколько любые HTML-коды или JavaScript. Любые символы HTML-разметки будут закодированы таким образом, чтобы при отображении на веб-странице они отображались только как другие символы.

Да, если бы я хотел сохранить форматирование (включая все пробелы), я бы использовал <pre>.

PhilPursglove · Answer 2 · 19 декабря 2010

Вы захотите взглянуть на метод GetSafeHTMLFragment в разделе AntiXSS библиотеки Web Protection .При этом используется белый список того, что HTML считается «безопасным» для целей XSS, все, что не входит в белый список, удаляется. Blowdart (который работает в команде WPL) имеет отличный blogpost по использованию метода.

HttpUtility.HtmlEncode безопасно?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

HttpUtility.HtmlEncode безопасно?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы