Asp.net MVC Razor-从表单发布HTML
本文关键字:HTML 表单 net MVC Razor- Asp | 更新日期: 2023-09-27 18:20:03
我正在为我目前正在进行的项目寻找一些指导''反馈练习等。
该网站有一个表单,允许用户创建电子邮件模板。电子邮件模板只是一个带有wysiwyg编辑器(bootstrap-wyshtml5)的文本区域。
因此,文本区域将具有基本的html标记,以便用户可以格式化电子邮件的外观。
我的问题是:处理从文本区域返回HTML以避免任何脚本攻击等的最佳''最安全的方法是什么?
如果有任何帮助的话,我确实有一个HTML标签的电子邮件白名单。
如果你担心安全,那就做以下两件事之一:
- 允许标记的白名单并限制用户界面。同样,这将是大量的工作和大量的XSS测试
- 或者接受markdown格式并在服务器上将markdown转换为HTML
对于第二个选项,您可以使用http://kevo.io/pagedown-bootstrap/或任何这样的具有降价意识的编辑器。工具栏可以帮助那些不知道markdown语法的用户。
假设电子邮件模板将由授权的内部用户创建
将[AllowHtml]属性用于TextArea字段的Model属性。那应该足够满足你的要求了。