62,046
社区成员
发帖
与我相关
我的任务
分享我在页面设成了ValidateRequest="false" 的问题
我在页面设成了ValidateRequest="false" 为的是TEXTBOX中的一个br值,但在这安全性又会大大的下降,请问有无什么两全其美的方法阿?
...全文
请发表友善的回复…
发表回复
wulemale 2007-04-25
- 打赏
- 举报
不知在哪里摘录的:
将输入字符串用 HttpUtility.HtmlEncode()来编码,将其中的HTML标签彻底禁止。
然后,放行需要的标签,通过Replace()进行替换。比如,我们希望有"<b>"标签,那么我们就将"<b>"显式的替换回"<b>"。
示例代码如下:
void submitBtn_Click(object sender, EventArgs e)
{
// 将输入字符串编码,这样所有的HTML标签都失效了。
StringBuilder sb = new StringBuilder(
HttpUtility.HtmlEncode(htmlInputTxt.Text));
// 然后我们选择性的允许<b> 和 <i>
sb.Replace("<b>", "<b>");
sb.Replace("</b>", "");
sb.Replace("<i>", "<i>");
sb.Replace("</i>", "");
Response.Write(sb.ToString());
}
将输入字符串用 HttpUtility.HtmlEncode()来编码,将其中的HTML标签彻底禁止。
然后,放行需要的标签,通过Replace()进行替换。比如,我们希望有"<b>"标签,那么我们就将"<b>"显式的替换回"<b>"。
示例代码如下:
void submitBtn_Click(object sender, EventArgs e)
{
// 将输入字符串编码,这样所有的HTML标签都失效了。
StringBuilder sb = new StringBuilder(
HttpUtility.HtmlEncode(htmlInputTxt.Text));
// 然后我们选择性的允许<b> 和 <i>
sb.Replace("<b>", "<b>");
sb.Replace("</b>", "");
sb.Replace("<i>", "<i>");
sb.Replace("</i>", "");
Response.Write(sb.ToString());
}
