标签: asp.net xss html-encode htmldecode
我在限制可以接受用户输入的字段中的恶意内容方面遇到问题。
我必须对该字段进行编码并将其保存在数据库中-参见示例:
第一个示例
<space>被另存为<space>
<space>
<space>
第二个示例(恶意文本)
"><svg/onload=prompt(1)> 保存为"><svg/onload=prompt(1)>
"><svg/onload=prompt(1)>
"><svg/onload=prompt(1)>
现在在报告中,我必须将其解码为实际文本,但是第二个文本现在是恶意脚本。我该怎么办?
还有其他方法可以阻止客户端和服务器端的恶意文本吗?