如何正确处理textarea中的html标签

Question

我有一个带有 textarea 元素的 asp.net 表单（成员个人资料的一部分 - 目标字段）。我不介意用户在其中输入 html 标签，但出于安全原因，asp.net 不允许在文本框中提交 html 标签 ()，这很好。因此，我看到两个选项 - 在提交表单之前从 textarea 的值中完全剥离 html 标签，或者转义 textarea 的值，用 < 替换 < 和 > ; 和 > 在提交到服务器之前。

换句话说，如果有人在文本区域中输入以下内容：

我想以某种方式将其保存在服务器上并向用户显示与他们下次在该页面上输入的内容完全相同的内容。

通常如何处理这样的问题？

更新：默认情况下，Asp.net 不允许您在 input/textarea 元素中提交标签。如果我禁用该检查，就会打开 XSS 漏洞的可能性。我想要的只是找到一种正确的方法来转义输入（并分配回元素），然后能够在表单加载后取消转义

Answer 1

通常的方法是客户端和服务器端验证：

• 反跨站脚本ASP.net 库
• 制作HTML 更安全：toStaticHTML 的详细信息
• AntiXss.HtmlEncode 和 HttpUtility.HtmlEncode 方法之间的差异
• JavaScript 攻击/防御
• JavaScript 攻击/防御 codeplex.com/" rel="nofollow">Microsoft Web 保护库