問題タブ [html-encode]

テキスト領域があり、ユーザーが入力したテキストを、段落区切り、番号付きリストなどの html 形式でデータベースに保存したいと考えています。これには HTMLencode と HTMLdecode を使用しています。

私のコードのサンプルは次のようなものです:

ユーザーが 2 つの段落でテキストを入力した場合、str1 は段落間に文字 \r\n\r\n を表示します。ただし、画面に書き込むときは、2番目の段落を1番目に追加するだけです。デコード中に 2 つの段落が出力されないのはなぜですか?

ASP.NET で送信ボタンを書き出す必要があります。これにより、ボタンのテキスト値が、アクセント付きのさまざまなフランス語文字の適切な HTML エンティティを使用して HTML エンコードされます。

ボタンは単純に次のように宣言されます。

私が何かをするなら

次に、ボタンのテキストをWeb ページでTest éとして正しく表示しますが、HTML ソースもTest éであり、これは必要なものではありません。 é のいずれかが必要です。または é.

私が何かをするなら

Test éと表示されます。ボタンのテキスト、つまりTest é HTMLソースで。

この問題を解決するにはどうすればよいですか?

文字列をHTMLとしてエンコードするための組み込みのjQuery関数はありますか？

ユーザーが入力したテキストをテキストボックスに入れて、そのテキストをページの別の領域に配置しようとしています。私の計画は.val()、テキストボックスからを取得し、それを要素のに提供すること.html()でした<div>。おそらく、これを支援するための優れたjQueryプラグイン（組み込みでない場合）またはこの目標を達成するための全体的なより良い方法があります。

たとえば、ユーザーが<Victory!>テキストボックスに入力した場合、ページの他の部分に<Victory!>何も表示されないのではなく、実際にテキストが表示されるようにします。

ASP.NETMVC2.0でこれを使用できるようになりました <%: Model.CustomerName %>

では、HTMLヘルパーを作成するときは、この方法を使用する方がよいでしょうか（HTMLエンコードを実行したくない場合）。

€EURO 通貨記号 (€) がHTML のようにエンコードされていることは知っていますが、System.Web.HttpUtility.HtmlEncode("€")まったくエンコードされていません。それがなぜなのか誰か知っていますか？

この状況は私を夢中にさせています!!: 次のスニペットは機能しません (私のように)

最初の行は値 (例) "<b> Dummy value: </ b> を preResult に代入します (これは予想通りです)。

しかし、次の行は再び同じ値を与えます!!! ただし、「<b> ダミー値: </ b>」を返す必要があります。

これらの行をデバッグして、値を直接コピーして HttpUtility.HtmlDecode() に貼り付け、何が機能したかを推測することを考えました!!! 期待値出た！

もちろん、これは役に立ちませんが、何か奇妙なことが起こっていることを証明しています...何ですか?!!

誰かが再び同じ状況に直面しましたか? (dev.env.VS2008、.NET3.5SP1)

偶然にも、ASP.NET 4.0 の新機能に関する次の投稿を見つけました。これらの新しい角かっこで囲まれた式は<%: Content %>、HTML エンコードとしてレンダリングする必要があります。

次のように、FormView のデータバインドされたラベル内でこれを試しました。

しかし、うまくいきません: text プロパティにはスクリプト タグ (テスト用) が含まれていますが、出力は空白です。従来の方法を使用すると、次のように機能します。

私は何を間違っていますか？

（ちなみに、私は愚かすぎて情報を見つけることができません.Googleはそのことを検索することを拒否しています.MSDNのVS2010オンラインヘルプには多くのヒットがありますが、私の検索に関連するものは何もありません.Stackoverflow検索も.そして私はしませんこれらの「もの」（私が意味する括弧）が、より良い検索用語を持つために正式にどのように呼ばれているかを知っています. ）

情報や追加のリンクやリソースは大歓迎です!

前もって感謝します！

私はNerdDinnerを使用していますが、次のセクションについて少し混乱しています...

まず、彼らは新しいディナーを作成するためのフォームを追加しました。

<%= Html.TextArea("Description") %>

次に、フォーム入力をモデルにバインドする 2 つの方法を示します。

また：

わかりました。これまでのところ、すべてが本当に簡単に見えます。

それから少し後に彼らは言います：

ユーザー入力を受け入れるときは、常にセキュリティについて偏執的であることが重要です。これは、オブジェクトをフォーム入力にバインドする場合にも当てはまります。HTML および JavaScript インジェクション攻撃を回避するために、ユーザーが入力した値を常に HTML エンコードするように注意する必要があります。

は？MVC がデータ バインディングを管理しています。HTMLエンコーディングはどこで/どのように行うべきですか?

ここに私のビューコードがあります:

ここに私のコントローラコードがあります:

私のリポジトリ クラスは基本的に、次のフィールドを持つデータベース テーブルにクエリを実行します。

.Get() メソッドは pageName (またはキー) を渡し、htmlContent 値を返します。

今、私はこれを開始したばかりなので（まだデータベースに何も永続化していません）、コードで明示的なエンコーディングを行っていません。

エンコーディングを行う必要がある場所のベストプラクティスは何ですか (モデル、コントローラー、ビューで??)

たとえば、挿入フォームを構成する多くのパラメータがあります。

今朝、サイトでのxss攻撃に失敗したので、とにかくセキュリティ対策を強化しようとしています。

このように入力パラメータを追加する必要がありますか？

攻撃を避けるために他に考慮すべきことはありますか？