(Мои извинения, если это существует, но я не видел ответ на этот аромат предотвращения Java Script инъекции)Javascript Injection Prevention (но сохранить форматирование текста и изображений)
Подробности: Вся обработка будет на сервер.
Я хочу, чтобы мои пользователи могли размещать HTML-теги в целом, но я ищу способ ограничить использование тегов и эффектов. Есть ли в наличии существующие решения для этого? (я не хочу закодировать содержание моих пользователей
Да:.
- Текста + Форматирование
- Ссылки
- Списки
- Изображения
N О:
- CSS: по реф, по метке или инлайн
- JS: по реф, по тегам или инлайн
- IFrames
- Объекты
Любые мысли?
Я рассматриваю идею упаковки сообщения в основной XML-тег, убедившись, что он разбирает, и извлекая несколько конкретных тегов (сценарий, Iframe, и т.д.) и удаление всех атрибутов, кроме известных, как это необходимо [a href] или [img src tag] -> и возвращать любые ошибки обратно пользователю (также помогает гарантировать правильное форматирование html (теги open/close) и т. д.) –
Каков ваш серверный язык? – War10ck
C# MVC4 VS2012. –