2

我想限制用户输入的恶意html,但应该允许用户使用大于(>)或小于(<)符号。

只禁止以下两个字符串是否安全?

"/>" and "</"

可以在没有结束标签的情况下执行任何恶意 html 吗?

更多信息:这是 ASP.Net MVC,用户在文本框中输入一些文本,文本存储在数据库中,然后显示在页面上。

4

2 回答 2

2

这种情况也可以通过转义用户在用户界面上显示时输入的输入来处理。这将导致所有用户输入在 ui 上显示为文本。在这种情况下,标签不会在浏览器上呈现以供用户输入。

于 2013-01-16T10:21:10.473 回答
1

必须在不删除任何数据的情况下处理每个用户输入。如果您知道伤害,则应在向用户展示时使用转义。

有很多技术可以绕过愚蠢的查找/替换过滤器。阅读有关 xss 漏洞和 sql 注入的信息。

于 2013-01-16T10:25:06.703 回答