asp.net 防止js脚本注入的方法
前天,写的系统被测评。测评的人在我的页面textbox输入 <script>alert("test")</script> 内容。刷新页面这个脚本被执行弹出对话框。大家帮忙出出注意,这个最佳解决方案是啥
------解决方案--------------------但是假设说你允许输入html,那么就要另外处理。比如说你允许用户输入<h1></h1>这样的,并且作为html来解析,那么就要另外下点功夫去查找脚本代码(并不是全都在<script />中的。
使用ubb当然简单哆啦,只不过不太支持所见即所得的方式。
如果你的web界面上支持rtf之类的,例如silverlight的TextBlock等许多对象都支持RTF,再配合一个RTF编辑器,可以杜绝这类问题。
------解决方案--------------------replace("<","")