如何從ASP.NET中的WYSIWYG編輯器安全地呈現HTML內容?
[英]How can I safely render HTML content from a WYSIWYG editor in ASP.NET?
問題描述
安全編碼使用ASP.NET/MVC5中的WYSIWYG編輯器創建的內容輸出的最佳實踐是什么? 我希望與格式和布局等相關的標簽呈現為HTML,但同時避免XSS攻擊。 編輯者是Summernote,這並不重要。
顯然,這是非常不安全的:
@Html.Raw(Model.Content);
這是完全錯誤的:
@Model.Content
而Microsoft Sanitizer則反其道而行之,刪除了所見即所得編輯器添加的幾乎所有格式。
@Html.Raw(Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment(Model.Content))
是否有另一個內置或流行的庫可以使用?
1 個解決方案
解決方案1
1 2015-06-19 23:31:49
AFAIK沒有這樣做的“最佳實踐”。 您正在與框架競爭。 MVC旨在將模型(包屬性)呈現到視圖(模板)中。
從理論上講,您可能能夠從所見即所得的輸出中剝離所有來自用戶輸入的內容(即可能導致XSS和SQL注入的內容),對這些片段進行清理,然后再放回去。我不會去做。
我可以從ASP.NET應用程序外的ASP.NET頁面對象中呈現html嗎?
[英]Can I render html from ASP.NET Page objects outside ASP.NET applications?
如何從ASP.Net中的Custom ServerControl在HTML輸入中呈現新屬性
[英]How can I render a new property in an HTML Input from a Custom ServerControl in ASP.Net
如何從C#ASP.Net應用程序中獲取tinymce HTML內容?
[英]How can I get the tinymce HTML content from within a C# ASP.Net application?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何在 asp.net 中將字符串呈現為 html?
我可以從ASP.NET應用程序外的ASP.NET頁面對象中呈現html嗎?
如何從ASP.Net中的Custom ServerControl在HTML輸入中呈現新屬性
ASP.NET MVC 4和WYSIWYG編輯器驗證
如何安全地從 asp.net 中的流中讀取?
如何從C#ASP.Net應用程序中獲取tinymce HTML內容?
如何在ASP.NET MVC中的驗證消息中呈現html?
如何從數據庫渲染gridview asp.net上的html標簽
我可以在ASP.NET MVC中安全地生成線程嗎?
如何使用foreach在ASP.NET中呈現數據?
相關標簽