私はasp.netに小さなmceを使ってページにリッチテキストエディタを提供するページを構築しています。 Tiny mceはリッチテキストをhtml形式で出力し、データベースに保存します。その後、私はデータベースからHTMLを取り出してページに表示したいと思っています。永続的なxss/sqlインジェクションを避けながら、dbにHTMLを保存する
私は悪意のあるhtml、jsタグを後で出力する可能性のあるデータベースに入れることを心配しています。
誰かが私のプロセスのどの時点で私を歩くことができますか?永続的なxss攻撃やSQLインジェクション攻撃を防ぐために、htmlエンコード/デコードなどが必要ですか?
Brandonに感謝します。私はすでにこの道を踏みにじっていました。 – user263097