我正在研究StackQL.net,它只是一個簡單的網站,它允許您在StackOverflow公共數據集上運行ad hoc tsql查詢。這是醜陋的(我不是一個平面設計師),但它的作品。HTMLEncode script tags only
我做的選擇之一是我做不是想要html編碼後期主體的全部內容。這樣,您可以看到查詢中帖子的一些格式。它甚至會載入圖像,我很好。
但我擔心這也會使<script>
標記處於活動狀態。有人可能會在堆棧溢出答案中植入惡意腳本;他們甚至可以立即刪除它,所以沒有人看到它。人們在第一次訪問時嘗試的最常見的問題之一就是簡單的Select * from posts
,因此稍微有點時間,這樣的腳本最終可能會在幾個人的瀏覽器中運行。在我更新到(希望即將發佈的)10月份數據導出之前,我想確保這不是問題。
什麼是最好,最安全確保腳本標籤最終編碼的方法?
這很可能最終會成爲公認的答案,但直到本週末我纔會嘗試。 – 2009-10-01 13:24:37