我正在研究StackQL.net,它只是一个简单的网站,允许您在 StackOverflow 公共数据集上运行临时 tsql 查询。它很丑(我不是平面设计师),但它有效。
我做出的选择之一是我不想对帖子正文的全部内容进行 html 编码。这样,您可以从查询中的帖子中看到一些格式。它甚至会加载图像,我可以接受。
但我担心这也会使<script>
标签保持活动状态。有人可以在 stackoverflow 答案中植入恶意脚本;他们甚至可以立即删除它,所以没有人看到它。人们第一次访问时尝试的最常见的查询之一是简单的Select * from posts
,因此只要稍加计时,这样的脚本最终可能会在几个人的浏览器中运行。在更新到(希望即将发布的)10 月数据导出之前,我想确保这不是问题。
确保仅对脚本标签进行编码的最佳、最安全的方法是什么?