我在asp.net页面使用tinymce编辑器。它配置正常,但当我尝试在编辑器中编写soem文本时,它引发了错误“从客户端检测到了一个潜在危险的Request.Form值,带有timymce”我搜索并发现它是bascailly scan输入消息表单脚本和sql注入表单。
要删除此错误,我将ValidateRequest=fasle放入aspx页面的页面heade中。现在我确信输入不是经过验证的,但是现在它是否正在消毒?
请指导我现在有什么类型的威胁以及我可采取哪些安全措施来预防它。编辑器用于撰写和存储电子邮件。我刚刚在一些网站上看到客户端脚本可以从输入中获取。请指导和帮助。
答案 0 :(得分:2)
我相信this回答与您所寻找的一致。
基本上,您必须确保对适用的所有输入字段进行html编码/解码。实际上,除非禁用验证,否则无法完全避免它。但如果你是,请确保你采取措施避免直接使用输入。