ユーザーにテキストを入力してもらいたいのですが、テキストをユーザーに表示し、すべての空白を保持したいと思います。私はエクスプロイトを望んでおらず、ユーザーにhtmlまたはjavascriptを挿入してもらいます。HttpUtility.HtmlEncodeは使用するのに十分安全ですか?< >ATMは、適切にエンコードされているため、その他のテスト文字が正しいように見えます。テキストを正しく表示するには、何を使用しますか?現在、私はを使用して<pre><code>います。それは大丈夫に見えます、これはそれを表示する正しい方法ですか?
2 に答える
5
HtmlEncodeは、HTMLコードまたはJavaScriptに関しては安全である必要があります。HTMLマークアップ文字は、Webページに表示されたときに他の文字としてのみ表示されるようにエンコードされます。
はい、フォーマット(すべてのスペースを含む)を維持したい場合は、を使用します<pre>。
于 2010-12-18T22:39:09.347 に答える
1
Web Protection Libraryの AntiXSS セクションにある GetSafeHTMLFragment メソッドを確認してください。これは、XSS の目的で「安全」と見なされる HTML のホワイトリストを使用し、ホワイトリストにないものはすべて削除されます。Blowdart (WPL チームで働いている) は、この方法の使用に関する素晴らしいブログ投稿をしています。
于 2010-12-18T23:12:15.427 に答える