【发布时间】:2013-12-03 07:08:12
【问题描述】:
我正在编写一个应用程序,它接受用于淘汰赛/jquery 移动应用程序的表单发布,以后用户可以拉下发布的数据并查看表单上填写的内容。
用户可能会在输入中放置 html 或脚本标签。现在看来,当数据被删除并放回表单时,任何 html 标签或脚本都会显示在输入中,一切都很好。甚至带有 html 的标签似乎也正确转义,实际上并没有显示为 html。
但是我怎么能确定如果用户在表单输入中输入了一些 html,比如
<h1>Show This</h1>
当它稍后显示在表单中时,它实际上并没有弄乱表单的显示或运行脚本标记或其他东西。
Web Api 或 Knockout 是否提供任何类型的自动编码以防止出现这种情况?
【问题讨论】:
标签: asp.net knockout.js asp.net-web-api html-encode