如果我有一个可以显示用户输入的文本区域。我应该如何对其进行编码以防止出现任何安全问题?
例如假设我有这个:
<!DOCTYPE html>
<html>
<head>
<title>Title</title>
</head>
<body>
<form>
<textarea></textarea><script>alert('Hello');</script></textarea>
</form>
</body>
</html>
我应该如何对文本区域的内容进行编码,以便它显示 </textarea><script>
作为文本而不是运行它?
我正在使用 ASP.Net,但我确实需要 HTML 的一般答案。
这与“Rendering HTML inside textarea ”不同,因为我不想在文本区域内渲染 HTML,就像他们在那个问题中所做的那样。
最佳答案
您使用HTMLEncode
。
<textarea><%= Server.HtmlEncode("</textarea><script>alert('Hello');</script>") %></textarea>
或者
TextBox1.Text = Server.HtmlEncode(myString);
关于html - 您应该如何对文本区域的内容进行编码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46542620/