首页新闻找找看学习计划

“aspx页面是否设置了不禁止提交html标签

0
悬赏园豆:10 [已解决问题] 解决于 2014-04-16 17:11

我在项目中加了个编辑器,当文字经过编辑后就可能会产生html标签!但是aspx页面貌似默认禁止提交html标签!所以想知道如何修改或者在哪设置

ミ輝じ☆﹎的主页 ミ輝じ☆﹎ | 初学一级 | 园豆:95
提问于:2014-04-16 15:16
< >
分享
最佳答案
0

在提交前把能用的html标签的<>转成[],后台把能用的[]标签再转回<>

这样既安全又能实现功能

收获园豆:10
吴瑞祥 | 高人七级 |园豆:28747 | 2014-04-16 15:21

只要这样转换就行了吗!编辑器的其他功能呢,如加载连接,变换字体颜色都能实现了?

ミ輝じ☆﹎ | 园豆:95 (初学一级) | 2014-04-16 15:53

@ミ輝じ☆﹎: 首先禁止提交html是为了跨站脚本攻击,所以最好要设定好你的网站允许使用的html标签

过滤的时候做成白名单过滤,不允许的标签就不转换,

带有src的标签都能实现跨站脚本攻击,所以如果你要加a标签需要对a标签的格式也做限制

吴瑞祥 | 园豆:28747 (高人七级) | 2014-04-16 16:15

@吴瑞祥: 也就是说我还是应该禁止提交html标签!想实现我的编辑器的功能就只能按照你原来说的了!是不是这个道理啊!

ミ輝じ☆﹎ | 园豆:95 (初学一级) | 2014-04-16 16:31

@ミ輝じ☆﹎: 是的,不然你的网站早晚成别人木马库的

吴瑞祥 | 园豆:28747 (高人七级) | 2014-04-16 16:40

@吴瑞祥: 谢谢

ミ輝じ☆﹎ | 园豆:95 (初学一级) | 2014-04-16 17:10
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册