Los usuarios de mi sitio tienen una página donde pueden escribir su propio html. Quiero que esto se use para cosas como listas ordenadas, estilo, etc., pero algunas personas intentarán insertar un script, que no puedo permitir.
El mecanismo para actualizar la descripción de un usuario es a través de ajax. Desde javascript, envío una solicitud a un archivo ajax.ashx, que llama a una función en ajaxMethods.cs. En la función actualizo el servidor sql con la nueva descripción del usuario.
¿Cómo puedo validar la entrada en la función, antes de que la descripción se envíe al servidor? Quiero sacar cualquier cosa relacionada con las secuencias de comandos, pero deje las etiquetas html normales como <p>. ¿Hay alguna herramienta que maneje todo esto?
Respuestas
1 para la respuesta № 1¿Por qué no permitir que los usuarios utilicen un formato / idioma personalizado en su lugar (por ejemplo, Reducción) y luego analizar este lado del servidor a HTML? De esta manera, sabrá que cualquier código de script / html que encuentre dentro de la solicitud real no es válido y se puede eliminar (o codificar). Esto también le da la ventaja de permitir solo una lista predeterminada de etiquetas. Básicamente le daría la misma funcionalidad que StackOverflow tiene.
0 para la respuesta № 2
te recomiendo HttpServerUtility.HtmlEncode su salida. Tratar de analizar las etiquetas de script y no el HTML no es un buen enfoque. Ver referencia a continuación:
Hoja de trucos de XSS (Cross Site Scripting)