UC知道我用了在线编辑器,里面可以随便粘贴内容!
来源:百度知道 编辑:UC知道 时间:2024/05/25 14:44:20
因为那里面可以随便粘贴进去内容。
然后都转成HTML代码
结果导致用户可以把发表留言处的整个表单都粘进去
那么他的留言内容显示的地方就多了一块发表留言的地方,并且可以使用
有什么好办法?
我想的是在保存进数据库之前过滤字符串。
谢谢回答。
但是如果没有FORM呢?
只有那几个控件,但是没有包含FORM标签。。一样可以提交内容
我是用ASP。NET做的。。
"过滤 < > & 三个字符,应该就可以适用大多数情况了"
如果这样的话,所有的控件都过滤了。。那么图片怎么办?
"Server.HtmlEnCode() "
NONO,绝对不可以这样,这样一样把所有控件都过滤了!
然后都转成HTML代码
结果导致用户可以把发表留言处的整个表单都粘进去
那么他的留言内容显示的地方就多了一块发表留言的地方,并且可以使用
有什么好办法?
我想的是在保存进数据库之前过滤字符串。
谢谢回答。
但是如果没有FORM呢?
只有那几个控件,但是没有包含FORM标签。。一样可以提交内容
我是用ASP。NET做的。。
"过滤 < > & 三个字符,应该就可以适用大多数情况了"
如果这样的话,所有的控件都过滤了。。那么图片怎么办?
"Server.HtmlEnCode() "
NONO,绝对不可以这样,这样一样把所有控件都过滤了!
那你把得到的字符串,查找form找到form就返回再左取到form的位置就把表单去掉了
过滤 < > & 三个字符,应该就可以适用大多数情况了。
Server.HtmlEnCode()