Dies hängt wirklich davon ab, was Sie mit dem Code tun, sobald Sie es hochgeladen haben. Solange Sie filtern, bevor Sie die Daten erneut anzeigen oder speichern, sollten Sie Ihre Exposition begrenzen. Im Idealfall würden Sie HTML-Codierung des Inhalts sein, aber dies ist keine Option, wenn Sie tatsächlich ihren HTML-Code rendern müssen, was ich vermute.
HINWEIS Ich sage nicht, dass das Filtern eine triviale Aufgabe ist, aber Ihr Belichtungsvektor variiert, je nachdem, was Sie mit den Daten machen und wer die Informationen sieht, die da sind. Wenn Sie beispielsweise zulassen, dass ein Benutzer HTML-Eingaben in freiem Format eingibt, die nur für sie gespeichert und angezeigt werden, haben Sie ein geringeres Risiko, andere Besucher oder größere Teile einer Website zu beeinträchtigen. Wenn Sie jedoch sagen, dass Sie an einem Forum-System arbeiten und ein Benutzer falsch formatiertes HTML oder bösartiges HTML postet, könnten Sie die gesamte Website für alle Benutzer durchbrechen.
Aber denken Sie daran, wenn Sie Freiform-HTML-Eingabe zulassen, müssen Sie zusätzlich sicher sein, nicht geschlossene Tags und fehlerhafte HTML-Markup zu behandeln.
Ich persönlich würde empfehlen, wenn Sie HTML-Eingabe von einem Benutzer akzeptieren müssen, die Sie mit einer Form von RichTextEditor Steuerelement gehen. So etwas wie der FCKEditor, der Telerik RadEditor, TinyMCE oder sogar der Markdown-Editor (hier bei Stack Overflow). Dies trägt dazu bei, Ihren Expositionspunkt von der fehlerhaften HTML-Seite der Dinge zu verringern, ganz zu schweigen von einer besseren Erfahrung für die Benutzer.
Ich empfehle TinyMCE als Wysiwyg-Editor. –
-1 Zur Vernachlässigung der Sicherheit. Du machst es klingt wie Filterung ist einfach, indem Sie sagen: "Wenn Sie filtern, begrenzen Sie Ihre Exposition" Allerdings richtig Filtern ist extrem schwierig. – Henri
@Henri - Ich habe den Beitrag aktualisiert, Sie haben Recht, der erste Wortlaut davon, war ein bisschen zu begrenzt in dem Punkt, den ich versuchte zu machen –