1

我可能在这里误解了,但据我了解,markdown 编辑器会删除所有 html。

然后使用 markdown.Transform() 类型的方法将此数据库存储的 markdown 转换为带有 h​​1、p 等的 html。

对于 asp.net MVC,一般规则是 Html.Encode 一切。

但是,当使用 Markdown 编辑器看到 Html.Encoding 转换后的 Markdown 将使生成的 html 无用时,这仍然适用吗?

4

1 回答 1

1

HTML.Encode Everything 用于潜在不安全的内容,通常是用户输入的任何内容,如果生成了 HTML 并且输入可以信任(即通过剥离 HTML 的内容运行,通过 XSS 库运行),那么您可以安全地不对其进行编码。更明确地说,您可以返回 MvcHtmlString 而不是字符串。

于 2010-08-19T11:19:18.017 回答