使用 ajax 查询请求验证？

Question

我网站上的用户有一个可以编写自己的 html 的页面。我希望将其用于排序列表、样式等，但有些人会尝试插入脚本，这是我不允许的。

更新用户描述的机制是通过ajax 实现的。我从 javascript 向文件 ajax.ashx 发送请求，该文件调用 ajaxMethods.cs 中的函数。在该函数中，我使用用户的新描述更新 sql 服务器。

在将描述提交到服务器之前，如何验证函数中的输入？我想删除所有与脚本相关的内容，但保留正常的 html 标签，例如

。有没有任何工具可以处理所有这些？

Answer 1

为什么不允许用户改用自定义格式/语言（例如 Markdown），然后解析这个服务器端到 HTML 吗？这样您就知道在实际请求中找到的任何脚本/html 代码都是无效的，可以被删除（或编码）。这还为您提供了仅允许预先确定的标签列表的优势。它基本上会为您提供与 StackOverflow 相同的功能。

Answer 2

我建议您 HttpServerUtility.HtmlEncode 您的输出。尝试解析脚本标签而不是 HTML 并不是一个好方法。请参阅下面的参考：

XSS（跨站脚本）备忘单