私はユーザーにテキストを入力させたいと思います。テキストをユーザーに表示して、すべての空白を保持したいと思います。私はどんな悪用もしたくないし、ユーザーにhtmlやjavascriptを注入させてもらう。 HttpUtility.HtmlEncodeは使用するのに十分安全ですか? ATM <
>
と他のテスト文字が正しくエンコードされているため、正しく表示されます。テキストを正しく表示するには、何を使用しますか?今私は<pre><code>
を使用しています。それは大丈夫だ、これを表示する正しい方法ですか?HttpUtility.HtmlEncodeは安全ですか?
答えて
HtmlEncodeは、HTMLコードやJavaScriptまでは安全である必要があります。 HTMLマークアップ文字は、Webページに表示されるときに他の文字としてのみ表示されるようにエンコードされます。
はい、すべてのスペースを含めて書式設定したければ、<pre>
を使用します。
HtmlEncodeは安全です。これは、対応するHTMLエスケープシーケンス(すなわち<など)と< >& " 'を置換、ならびにこれらの数値で任意のマルチバイト文字を交換します(つまり、☺) –
それは私がすることができますから、マルチバイト文字を置き換えるものではありません表現をエスケープ160〜255の範囲の整数値を持つ文字は、数字のエスケープシーケンス(つまり、ÿ)に変換されますが、255より大きい値または160未満の値を持つ任意の文字(つまり、具体的に言及した5文字を除き、< >& "')がそのまま出力されます。 160-255をエスケープすることさえ気にしない理由は、とにかくHTMLテキストに予約された文字ではないため、ミステリー(160は拡張ASCII範囲の中央にあります)です。 – Triynko
Web Protection LibraryのAntiXSSセクションでGetSafeHTMLFragmentメソッドを調べることをお勧めします。これは、XSSの目的のためにHTMLが「安全」とみなされるホワイトリストを使用します。ホワイトリストにないものはすべて取り除かれます。 Blowdart(誰がWPLチームに勤務していますか)は、このメソッドを使用することで素晴らしいblogpostを持っています。
+ -0。間違っている、私はhtmlをsanitizesしようとしていない、ちょうどテキストを再度表示します。だからこの答えは正しくない。しかし、読んでいるときに他の人に役に立つかもしれません –
- 1. ブーストメッセージキューのスレッドは安全でプロセスは安全ですか?
- 2. 安全で安全なセッション名とは何ですか?
- 3. "User.Identity.Name"は安全ですか?
- 4. PhoneGapは安全ですか?
- 5. req.refererは安全ですか?
- 6. Context.MODE_PRIVATEは安全ですか?
- 7. フォームは安全ですか?
- 8. SecureStringは安全ですか?
- 9. window.screenは安全ですか?
- 10. signed_requestは安全ですか?
- 11. Locale.setDefault()は安全ですか?
- 12. Flex:removeEventListenerは安全ですか?
- 13. JDBCは安全ですか?
- 14. NetworkStreamは安全ですか?
- 15. StrToInt()は安全ですか?
- 16. カピストラーノは安全ですか?
- 17. Reduxは安全ですか?
- 18. pthread_cond_waitは完全に安全ですか?
- 19. セッションを安全にカウントする方法:Session_Start/End in Global.Asaxは安全で安全ですか?
- 20. SAS Google Map Generator、安全なデータで安全ですか?
- 21. 990pxはウェブページの完全な安全な幅ですか、または980px以下で安全ですか?
- 22. macOsフォントはウェブで安全ですか?
- 23. はOrderByRaw()で安全ですか?
- 24. Gun.jsはクライアント上で「安全」ですか?
- 25. JavaScriptでparseFloatは安全ですか?
- 26. PHP preg_functionsはマルチバイトで安全ですか?
- 27. ConcurrentDictionaryでAddOrUpdateスレッドは安全ですか?
- 28. Axapta.ExecuteStmt - 安全ですか?
- 29. Python:PyPi public modules:安全で安全かどうかを判断する方法は?
- 30. オープンで安全なTCPチャネルはどのくらい安全ですか?
ソースコードをエコーバックするのか、ユーザー提供のテキストだけをエコーバックするのですか? –