“aspx页面是否设置了不禁止提交html标签

悬赏园豆：10 [已解决问题] 解决于 2014-04-16 17:11

我在项目中加了个编辑器，当文字经过编辑后就可能会产生html标签！但是aspx页面貌似默认禁止提交html标签！所以想知道如何修改或者在哪设置

aspx html 设置

ミ輝じ☆﹎ | 初学一级 | 园豆：95
提问于：2014-04-16 15:16

< >

最佳答案

在提交前把能用的html标签的<>转成[],后台把能用的[]标签再转回<>

这样既安全又能实现功能

收获园豆：10

吴瑞祥 | 高人七级 |园豆：29449 | 2014-04-16 15:21

只要这样转换就行了吗！编辑器的其他功能呢，如加载连接，变换字体颜色都能实现了？

ミ輝じ☆﹎ | 园豆：95 (初学一级) | 2014-04-16 15:53

@ミ輝じ☆﹎: 首先禁止提交html是为了跨站脚本攻击,所以最好要设定好你的网站允许使用的html标签

过滤的时候做成白名单过滤,不允许的标签就不转换,

带有src的标签都能实现跨站脚本攻击,所以如果你要加a标签需要对a标签的格式也做限制

吴瑞祥 | 园豆：29449 (高人七级) | 2014-04-16 16:15

@吴瑞祥: 也就是说我还是应该禁止提交html标签！想实现我的编辑器的功能就只能按照你原来说的了！是不是这个道理啊！

ミ輝じ☆﹎ | 园豆：95 (初学一级) | 2014-04-16 16:31

@ミ輝じ☆﹎: 是的,不然你的网站早晚成别人木马库的

吴瑞祥 | 园豆：29449 (高人七级) | 2014-04-16 16:40

@吴瑞祥: 谢谢

ミ輝じ☆﹎ | 园豆：95 (初学一级) | 2014-04-16 17:10

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。