问题标签 [html-encode]

我不关心其他类型的攻击。只想知道 HTML Encode 是否可以防止各种 XSS 攻击。

即使使用 HTML 编码，是否有某种方法可以进行 XSS 攻击？

每次用户在我的 Web 应用程序中发布包含<或>在页面中的内容时，我都会抛出此异常。

我不想讨论由于有人在文本框中输入了一个字符而引发异常或使整个 Web 应用程序崩溃的聪明之处，但我正在寻找一种优雅的方式来处理这个问题。

捕获异常并显示

发生错误，请返回并重新输入整个表单，但这次请不要使用 <

对我来说似乎不够专业。

禁用后验证 ( validateRequest="false") 肯定会避免此错误，但它会使页面容易受到许多攻击。

理想情况下：当回发包含 HTML 受限字符时，表单集合中的发布值将自动进行 HTML 编码。所以.Text我的文本框的属性将是something & lt; html & gt;

有没有办法从处理程序中做到这一点？

有人做过吗？基本上，我想通过保留 h1、h2、em 等基本标签来使用 html；清除 img 和 a 标签中的所有非 http 地址；和 HTMLEncode 每隔一个标签。

我被困在 HTML 编码部分。我知道要删除一个节点，您执行“node.ParentNode.RemoveChild(node);” 其中 node 是 HtmlNode 类的对象。我不想删除节点，而是想对它进行 HTMLEncode。

我目前正在创建一个新的 ASP.net MVC 网站，并且发现自己到处都在使用 Html.Encode，这是一种很好的做法，但会变得非常混乱。我认为清理这个的一个好方法是如果我可以重载一个运算符来自动进行 Html 编码。

之前：

相当于：

任何人都有任何想法我可以如何做到这一点，也许使用扩展方法或其他东西？

如果我在重新显示网站用户输入的任何数据时对其进行 HTML 编码，这会防止 CSS 漏洞吗？

此外，是否有可用的工具/产品可以为我清理我的用户输入，这样我就不必编写自己的例程了。

简单的问题一直困扰着我。

我应该立即对用户输入进行 HTML 编码并将编码的内容存储在数据库中，还是应该在显示时存储原始值和 HTML 编码？

存储编码数据大大降低了开发人员在显示数据时忘记编码数据的风险。但是，存储编码数据会使数据挖掘更加麻烦，并且会占用更多空间，即使这通常不是问题。

我有一个 HTML 编码的字符串：

我想将其更改为：

我希望将其注册为 HTML，以便浏览器将其呈现为图像，而不是显示为文本。

字符串是这样存储的，因为我正在使用一个名为 的网络抓取工具BeautifulSoup，它“扫描”网页并从中获取某些内容，然后以该格式返回字符串。

我发现如何在C#中做到这一点，但在Python中没有。有人可以帮我吗？

有关的

• 在 Python 中将 XML/HTML 实体转换为 Unicode 字符串

我如何在 HTML 中编写 CC 徽标，是否有类似©（给出©）的东西？

（CC 代表知识共享）。

你什么时候打电话Microsoft.Security.Application.AntiXss.HtmlEncode？您是在用户提交信息时执行此操作，还是在您显示信息时执行此操作？

像名字、姓氏、城市、州、邮编这样的基本信息怎么样？

我将由 FCKEditor 编辑的 HTML 代码存储在数据库中，并希望将其显示（很好地呈现）到视图上。因此，例如，存储为：

将向用户显示为：

（具有预格式化文本的适当样式）

该视图已经具有显示所需的字符串ViewData，我只是不确定向用户显示它的最佳方式是什么。