Rich TextBox также принимает теги Script

Question

У меня есть aspx-форма, где мы использовали freetextbox в качестве моего текстового редактора для создания записей.

, но я могу ввести <script></script> в этих тегах досягаемости.

как я могу проверить на стороне клиента, что он не должен принимать скрипты, которые когда-либо включены в библиотеку javascript.

РЕДАКТИРОВАТЬ:

как я могу проверить это, чтобы не допустить в него теги скрипта? как мы можем проверить это для обязательного поля? Как я могу управлять более чем одним textareas на моей странице. но я хочу, чтобы только один был таким же богатым редактором, а не все ???

Я попробовал какой-то код, но он не помог мне для правильной проверки. ниже фрагмент. SCRITPT

<script>
    $(document).ready(function () {

        var $btn = $("#<%=btnSubmit.ClientID %>");
        var $txtEditor = $("#<%=txtEditor.ClientID %>");

        $btn.click(function () {
            alert($txtEditor.html()); 
            return false;
        })

    });

</script>

HTML

<div>
            <asp:TextBox id="txtEditor" runat="server" TextMode="MultiLine"></asp:TextBox>
        </div>
        <div>
        <asp:Button id="btnSubmit" runat="server" Text="Save" />

        </div>

Answer 1

Если вам нужна поддержка HTML в вашем тексте, то вам, вероятно, следует интегрировать некоторый редактор WYSIWYG (например, TinyMCE ).

Если вам не нужен html, просто закодируйте все введенные пользователем html.

Answer 2

Я хотел бы рассмотреть возможность использования HTML-пакета agility для анализа содержимого и разрешения только белого списка разметки.

Существует множество способов заставить скрипт выполнить в произвольной разметке (без необходимости использования тегов). Внесение в черный список не является жизнеспособным решением, если вы пытаетесь избежать атак XSS.