【发布时间】:2018-03-14 12:49:30
【问题描述】:
如果我有一个可以显示用户输入的文本区域。我应该如何对其进行编码以防止出现任何安全问题?
例如假设我有这个:
<!DOCTYPE html>
<html>
<head>
<title>Title</title>
</head>
<body>
<form>
<textarea></textarea><script>alert('Hello');</script></textarea>
</form>
</body>
</html>
我应该如何对 textarea 的内容进行编码,以便将 </textarea><script> 显示为文本而不是运行它?
我正在使用 ASP.Net,但我真的很喜欢 HTML 的一般答案。
这与“Rendering HTML inside textarea”不同,因为我不想在文本区域内呈现 HTML,就像他们做的那个问题一样。
【问题讨论】:
-
@kblok 这是一个不同的问题。我不想在 textarea 中呈现 html。
标签: html asp.net encoding textarea