HTML 编码 服务器端与客户端

Question

我想在我的页面上启用评论发布，因此我需要在发送帖子并将其插入数据库之前执行一些 html 编码。

理想的一面是什么？
服务器端（我使用 asp.net）还是客户端（javascript）？

Answer 1

如果您的意思是清理用户输入，那么您可以安全地执行此操作的唯一地方就是服务器端。您无法确定客户端是否已完成任何操作，绕过客户端代码太容易了。

这就像数据验证：在客户端进行数据验证（例如，确保表单的关键字段填充了有效值）很好，因为即时反馈可以带来良好的用户体验，但这样做并不能替代在服务器上执行此操作，因为绕过客户端验证非常容易。

但是，通过清理输入，您甚至不想尝试在客户端执行此操作；假设它未经清理并在服务器上对其进行清理。

在 ASP.Net 中，如果您要清理的输入是稍后要在 HTML 页面中显示的字符串，并且您希望确保它不包含自己的 HTML 标记，则可以使用 HttpServerUtility.HtmlEncode 对字符串进行编码（基本上，将< 变为 < 等）。

Answer 2

毫无疑问，肯定是服务器端。
但是，我会在输出到浏览器之前对输入进行编码，而不是在输入到数据库之前。

如果您使用 ASP .NET MVC，则可以使用帮助程序方法。

<%= Html.Encode("user comment with html in it <script>alert('bad')</script>") %>

如果您在 NET 4 框架中使用 ASP .NET（Webforms 或 MVC），则可以使用新语法。

<%: "user comment with html in it <script>alert('bad')</script>" %>

Answer 3

当然，您应该使用服务器端。

如果您在客户端执行此操作，用户可以轻松获取您正在使用的加密。

如果是服务器端的话应该更安全。

Answer 4

一种方法是，无论用户

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

在输出标题中输入什么内容，都将页面保留为 UTF-8，并将数据库也保留为 unicode。您永远无法确定用户将输入什么。

每个数据库堆栈还提供了转义可能的恶意内容的方法，例如 PHP 中的 mysql_real_escape_string MySQL 函数。