&script&alert(‘我能提问吗1？‘)&/script&_育儿问答_宝宝树
&script&alert(‘我能提问吗1？‘)&/script&
&script&alert(‘我能提问吗2？‘)&/script&
当时年龄：
还没有宝宝【网络安全】可以在&p&&/p&之间输入内容，但过滤了&&am_科技_易房网
可以在&p&&/p&之间输入内容，但过滤了&&am
作者：admin
可以在p/p之间输入内容，但过滤了;这三符号，是否这样已经足够安全避免xss？？ 易房网小编为您精选了网友的解决办法，供您参考 --------------------------
可以在&p&&/p&之间输入内容，但过滤了&&;这三符号，是否这样已经足够安全避免xss？？易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
俩字。不能。
易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
如果是php的话可以用urlencode(htmlspecialchars($data, ENT_QUOTES));这样可以去除绝大部分安全隐患,同时正常显示&&;这样的符号,还能防范SQL注入.例子:YPW的留言板
易房网小编为您精选了网友的解决办法，供您参考-----------------------------------------------------网友回答：
1.本站遵循行业规范，任何转载的稿件都会明确标注作者和来源；2.本站的原创文章，请转载时务必注明文章作者和来源，不尊重原创的行为我们将
追究责任；3.作者投稿可能会经我们编辑修改或补充。
国外网友曝光航空旅客不雅行为引人作呕（图）
白领谈恋爱面对3个备胎纠结 称选1个对不起别人
“平语”近人——习近平谈把握经济新常态“大逻辑
中国经济发展的“大逻辑”是什么？关键要看这个词
燕郊首富之孙身亡 燕郊首富之孙车祸身亡 “面包车
中西警方联手打击电信诈骗
中西警方联手打击电信诈骗 嫌犯中多人来自中国台
萧山机场迎来年内第3000万名旅客 跻身全球繁忙机
友情链接、商务合作QQ:谁有张学友的&&分手在雨天&&的整首歌词?谢谢来自:
日分享至 :
提示:部分歌词----- "..离别挂念从前..让痛哭拥抱告别在雨天"分享至 :
下一篇：上一篇：其它类似问题相关文章相关帖子--谁有张学友的&&分手在雨天&&的整首歌词?谢谢后使用快捷导航没有帐号？
Powered byjavascript（2）
用过富文本编辑器的人应该会遇到过这类似的问题，就是在我对富文本上的文字进行保存的时候，有2种方式，一
种是纯文本信息，如：“今天我写了一个博客”，而另一种就是纯html格式，如：&p&“今天我写了一个博客”&/p&。
有的时候我们为了方便对文本信息的处理可能会将编辑的内容保存成html格式存放到数据库，这样可以方便我们的后续操作，比如原来的一些样式不会变，但你存string字符串格式获取到文本后就得重新编排了，所以很显然html格式很实用。
但是，问题来了。我们存html格式的数据会存在一个验证问题，如下：
参考网上众多案例分析，以asp.net为例，有这样做的：
validateRequest=&false&
也有这样做的：修改web.config文件:
&configuration&
&system.web&
&pages validateRequest=&false& /&
&/system.web&
&/configuration&
web.config里面加上
&system.web&
&httpRuntime requestValidationMode=&2.0& /&
&/system.web&
诸此种种...
然而我发现这并没有什么卵用
1.首先我用的是MVC模式，可能环境不一样这样做的效果貌似行不通
2.项目文件大了有的东西不是说改就能改的，何况4.0或者4.5的程序改成2.0的是要冒一点风险性的
3.不安全。
关于不安全这一点我的理解是，存在这个异常（问题/bug）绝非是偶然的，用哲学的话来讲叫存在即合理，说白了这里之所以提示具有潜在的危险值应该是开发工具的一个智能检测，像上面提到的，存html格式的文本信息的时候“&p&“今天我写了一个博客”&/p&”是这样的，里面包含特殊字符，如“&&”尖括号。这样的值在某些时候对于数据库可能是致命的，众所周知的就是SQL注入式攻击，一般在处理添加数据的时候都会有验证来防止这个，但是文本编辑器处理的文本多了问题也就来了。
说到这里你可能想到解决办法了，既然注入式攻击是从添加的时候做正则验证来避免的，那么这里是不是也可以这样？
由于文本编辑器在输入值的时候是不带hml标记的，只有取值的时候你才知道那些标记是怎样回事，因此这里用正则之类的验证不合理，综合以上种种方法的优劣性，我换了一种方式实现数据的存取，就是对获取的字符串进行编码和解码处理！
存放到数据库中的字符串样例：
编码解码简化样例：
var html=&&p&今天写了一篇长长的博客&/p&&;//需要编码的字符串
var htmlEscape=escape(html);//编码
//----存放到数据库----
//----从数据库取出----用变量htmlSQL接收
var htmlUnEscape=unescape(htmlSQL);//解码
//---然后alert弹窗测试，和原来的值一样，但是最开始的那个问题解决了.....虽然写了很多，但解决问题也就2行代码，以上侧重思路。
Sakura，号编制
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：3107次
排名：千里之外}