内部站点是否需要使用 Html.Encode？

Question

我在 Html.Encode 方面遇到一些问题，并且用户想要使用特殊字符。首先，字符被html代码替换，因此无法正常显示。然后，如果稍后编辑并重新提交文本，则重新提交这些 html 代码时会抛出异常。

鉴于这是一个 Intranet 站点，并且蓄意攻击的可能性几乎不存在，那么不使用 Html.Encode 真的有任何风险吗？是否有可能有人无意中提交了一些特殊字符而导致问题？

或者有更好的方法解决这个问题吗？

Answer 1

首先字符被html代码替换，所以无法正常显示

。您是双重编码。您实际上希望 Html.Encode 来显示用户输入的 HTML 标签。除非您确实希望像

• 这样的内容成为项目符号列表而不是显示标签。

然后，如果稍后编辑并重新提交文本，则重新提交这些 html 代码时会抛出异常。

无论您为允许最初提交这些内容做了什么，都将有助于允许编辑。同样，也许由于双重编码，您会遇到进一步的问题。

鉴于这是一个内联网站点，故意攻击的可能性几乎不存在，不使用 Html.Encode 真的有任何风险吗？

在内心深处，您已经知道看待安全的方式是错误的；）

Answer 2

鉴于这是一个 Intranet 站点
以及故意的可能性
攻击几乎不存在，是
不使用确实有风险
Html.Encode

是的，是的，再次是的。有人在输入字段中输入特殊字符总是存在风险。 Web 开发的黄金法则是永远不要信任用户输入，并且始终对可能来自用户输入的任何内容进行编码。

Answer 3

检查您调用 Html.Encode 的所有位置，因为听起来您正在对字符串进行双重编码（可能在保存和显示时进行编码，或者在模板/部分上进行编码并再次进行编码）。

是的，即使它是内部的，也要始终对您的字符串进行编码，否则一名心怀不满的员工可能会造成一些严重的损害。