代码之家  ›  专栏  ›  技术社区  ›  fearofawhackplanet

是否需要使用Html。为内部网站编码?

  •  1
  • fearofawhackplanet  · 技术社区  · 15 年前

    我和你的关系有些问题 Html.Encode 以及想要使用特殊字符的用户。首先,字符被html代码替换,因此无法正确显示。然后,如果文本稍后被编辑并重新提交,则在重新提交这些html代码时会引发异常。

    鉴于这是一个内部网站,蓄意攻击的可能性几乎不存在,不使用它真的有风险吗 Html。编码 ? 有没有可能有人无意中提交了一些导致问题的特殊字符?

    还是有更好的方法来解决这个问题?

    3 回复  |  直到 15 年前
        1
  •  1
  •   Darin Dimitrov    15 年前

    鉴于这是一个内部网站 以及故意 攻击几乎不存在,是吗 不使用真的有风险吗 Html。编码

    是的,是的,又是的。在输入字段中输入特殊字符总是有风险的。web开发的黄金法则是永远不要相信用户输入,总是对可能来自用户输入的任何内容进行编码。

        2
  •  0
  •   Chao    15 年前

    检查所有你调用Html的地方。编码,就像你在双重编码你的字符串一样(可能在保存和显示时编码,或者在模板/部分上编码,然后再次编码)。

    是的,即使字符串是内部的,也要对其进行编码,否则一个不满的员工可能会造成严重的损害。

        3
  •  0
  •   eglasius    15 年前

    首先,字符被html代码替换,因此无法正确显示

    你是双重编码。你真的想用Html。编码以显示用户输入的HTML标记。除非你真的想要 <ul><li> 作为一个项目清单,而不是显示标签。

    然后,如果文本稍后被编辑并重新提交,则在重新提交这些html代码时会引发异常。

    无论你做了什么来允许初次提交,都将允许编辑。再说一次,可能是因为双重编码,你会遇到更多的问题。

    考虑到这是一个内部网站,蓄意攻击的可能性几乎不存在,不使用Html真的有风险吗。编码

    在内心深处,你已经知道看待安全的方式是错误的;)