本文讨论了在使用富文本编辑器时遇到的保存HTML格式内容到数据库的安全问题。针对可能出现的Request.QueryString值的潜在危险,作者分析了ASP.NET中的常见解决方案,如修改web.config文件,但指出这些方法在特定环境下可能无效或不安全。为了解决这个问题,作者提出了通过编码和解码字符串的方式来避免SQL注入等安全风险。示例代码展示了如何使用JavaScript的`escape`和`unescape`函数进行处理,强调了解决问题的关键在于编码和解码过程。
用过富文本编辑器的人应该会遇到过这类似的问题,就是在我对富文本上的文字进行保存的时候,有2种方式,一
种是纯文本信息,如:“今天我写了一个博客”,而另一种就是纯html格式,如:<p>“今天我写了一个博客”</p>。
有的时候我们为了方便对文本信息的处理可能会将编辑的内容保存成html格式存放到数据库,这样可以方便我们的后续操作,比如原来的一些样式不会变,但你存string字符串格式获取到文本后就得重新编排了,所以很显然html格式很实用。
但是,问题来了。我们存html格式的数据会存在一个验证问题,如下:
参考网上众多案例分析,以asp.net为例,有这样做的:
validateRequest="false"<
最低0.47元/天 解锁文章
182
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
