2

Доброго времени суток, уважаемые форумчане. Подскажите с таким вопросом. Делаю маленький сайт с возможностью добавления новостей и в качестве текстового редактора подключаю Tinymce. При первом подключении выдало ошибку "Обнаружено потенциально опасное значение Request.Form, полученное от клиента", по данному вопросу чуть покопал форумы где рекомендуется вносить изменения в web.config и т.д., но в итоге использовал следующий атрибут:

 [UIHint("tinymce_jquery_full"), AllowHtml].

Вроде все работает все добавляет:). Вопрос вот в чем: Насколько я понимаю все способы разрешающие вводить текст с HTML разметкой это обход безопасности? и все бы ничего пока добавления идут сугубо администратором сайта...но как решить вопрос безопасности в случае разрешения обычным пользователям вводить статьи? и чем может грозить ввод каких либо java script или какого другого кода? За ранее спасибо)

1 ответ 1

1

Ввод данных ничем грозить не может. Проблема обычно в выводе ранее введенного текста - возможность вписать что угодно в текст страницы - это огромная дыра в безопасности.

Защита в виде Request.Form сделана прежде всего чтобы пресечь проблему на корню - раз текст нельзя просто ввести - его нельзя будет и вывести. Этот механизим валидации был самым простым в реализации. Сейчас его дополняет защита в виде необходимости явного вызова Html.Raw для вывода текста как html при рендеринге страницы. Но до MVC 4 разработчикам самим приходилось явно делать Encode при выводе html, так что предварительная проверка была совсем не лишней.

Ваш ответ

By clicking “Отправить ответ”, you agree to our terms of service and acknowledge you have read our privacy policy.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками или задайте свой вопрос.