首页新闻找找看学习计划

用富文本编辑器防止跨站,用的Server.HtmlEncode问题

0
[待解决问题]

为了防止输入特殊html代码,我对用户编辑器的内容Server.HtmlEncode,前台展示出来后,图片和用户编辑的视频都不显示,除非再Server.Htmldecode解码,那么用户就起不到作用了,非法用户照样可以跨站,怎么解决的,除了过滤特殊html这种方法?http://blog.sina.com.cn/s/blog_68d818ef0100l1ro.html

问题补充:

jjjjj<sCript type="text/javascript">

AlertLoop();

function AlertLoop(){
alert("无限弹出对话框!");
AlertLoop();
}

</script>

111

111

小明同学的主页 小明同学 | 初学一级 | 园豆:12
提问于:2013-04-12 22:24
< >
分享
所有回答(2)
0

富文本编辑器 本来就会对输入的html内容进行转义,除非是直接对源码进行修改。如果使用Server.Htmldecode,那就连应该正常的标签也会转义,就看不到内容的格式。

geass.. | 园豆:1777 (小虾三级) | 2013-04-14 20:14

复制到编辑器的html代码转义不成,可以照样显示非法字符,

支持(0) 反对(0) 小明同学 | 园豆:12 (初学一级) | 2013-04-14 23:02
0

<script>alert(0);</script>

晴天娃娃、 | 园豆:204 (菜鸟二级) | 2014-12-29 17:03
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册