h：inputTextarea中的塊Html標籤

Question

我需要阻止h：inputTextarea的Html標籤。 此textarea的內容將顯示在outputText中，並將轉義設置爲false。 它設置好的假，因爲我允許顯示鏈接<a href...>.

當我點擊保存，它驗證了書面文字，以檢查是否是有聯繫的，如果是這樣，我們保存在數據庫<a href...>

如果我上面這樣做是錯誤的做法，讓我知道，但不要忘記嘗試幫助我阻止HTML標籤。如果我錯了怎麼辦呢，我以後會做，但我需要解決這個問題就像我現在說:(

TY

Answer 1

您應該使用像markdown代替其他一些標記語言HTML，以防止XSS如果允許一個標籤，用戶仍然可以寫東西，如：

<a href="javascript:doSomethingEvil()">foo</a> 

如果你去，並試圖找到和過濾器之類的東西太多，看看這些漂亮的示例：http://ha.ckers.org/xss.html

編輯： 如果真的是唯一的標記，你想允許，你只是想有可點擊的鏈接，爲什麼你不嘗試識別文本中的網址，而不是強迫用戶編寫HTML？退房this SO question。