【发布时间】:2012-12-06 19:24:54
【问题描述】:
我是第一次在数据库中插入 html,所以我需要一些建议,我是否让它正确且安全。
我有财产类:
[AllowHtml] public property Description {get;set}
在视图中,我有一个 tinyMCE(在文本区域),用户可以在其中输入他的数据。
当我稍后显示该 html 时,我使用:
@Html.Raw(Model.Description)
我不知道我是否应该采取其他措施来防止站点受到攻击。
我尝试输入:
<script>alert('attack');</script>
但没有任何反应,它将其保存在数据库中并稍后显示为普通文本。
另外我想知道用户是否留下一些未关闭的标签,他会以某种方式破坏我的布局。
处理这种情况时有哪些明智的步骤?
【问题讨论】:
标签: asp.net-mvc asp.net-mvc-3 razor