1

私はここで誤解しているかもしれませんが、私の理解から、マークダウンエディタはすべてのhtmlを取り除きます。

次に、markdown.Transform()タイプのメソッドを使用した後、このデータベースに保存されているマークダウンは、h1、pなどを使用してhtmlに変換されます。

asp.net MVCの場合、一般的なルールはHtml.Encodeすべてです。

しかし、これはHtmlとして表示されるMarkdownエディターを使用する場合にも当てはまります。Transformedマークダウンをエンコードすると、生成されたhtmlが役に立たなくなりますか?

4

1 に答える 1

1

HTML.Encodeはすべて、潜在的に危険なコンテンツ、通常はユーザーが入力したものすべてを対象としています。HTMLが生成され、入力が信頼できる場合(つまり、HTMLを削除するものを実行し、XSSライブラリを実行する場合)、安全にエンコードすることはできません。より明確にするために、文字列ではなくMvcHtmlStringを返すことができます。

于 2010-08-19T11:19:18.017 に答える