用富文本编辑器防止跨站,用的Server.HtmlEncode问题
0
[待解决问题]
为了防止输入特殊html代码,我对用户编辑器的内容Server.HtmlEncode,前台展示出来后,图片和用户编辑的视频都不显示,除非再Server.Htmldecode解码,那么用户就起不到作用了,非法用户照样可以跨站,怎么解决的,除了过滤特殊html这种方法?http://blog.sina.com.cn/s/blog_68d818ef0100l1ro.html
问题补充:
jjjjj<sCript type="text/javascript">
AlertLoop();
function AlertLoop(){
alert("无限弹出对话框!");
AlertLoop();
}
</script>
所有回答(2)
0
富文本编辑器 本来就会对输入的html内容进行转义,除非是直接对源码进行修改。如果使用Server.Htmldecode,那就连应该正常的标签也会转义,就看不到内容的格式。
复制到编辑器的html代码转义不成,可以照样显示非法字符,
0
<script>alert(0);</script>
