初めてデータベースにhtmlを挿入するので、適切で安全なものにするためのアドバイスが必要です。
私はプロパティを持つクラスを持っています:
[AllowHtml] public property Description {get;set}
ビューには、ユーザーがデータを入力するtinyMCE (テキスト領域) があります。
後でそのhtmlを表示するときは、次を使用します。
@Html.Raw(Model.Description)
サイトへの攻撃を防ぐために何か他のことをすべきかわかりません。
入力しようとしました:
<script>alert('attack');</script>
しかし、それをデータベースに保存し、後で通常のテキストとして表示しても何も起こりません。
また、ユーザーがいくつかのタグを閉じたままにしておくと、何らかの形でレイアウトを壊すことができるのではないかと思います。
このようなシナリオに対処する際の賢明な手順は何ですか?
Windows Protection Libraryから Microsoft AntiXSS を使用できます。
TinyMCE、AntiXSS、MVC3、GetSafeHtmlFragment
乾杯。
データベースに書き込む前に html をエンコードする必要があります。データベースを見ると、次のように表示されるはずです (または、少なくとも安全な場合はそうすべきです)。
<script>alert('attack');</script>
これが html raw によってページに書き込まれると、送信されたときと同じように画面に表示されますが、ページを調べると、同じことが表示されます。
実際、ASP.Net を使用すると、サイトが悪用される可能性があるコードを作成することが非常に困難になるため、通常は問題ありません。特に他の人をメンタリングする場合は、知っておくとよいことなので、このトピックについてさらに読む価値があります。
いくつかのリンク: