habe ich erstellt eine Website basierend aufJavaScript Injektion, sondern bieten einen ckeditor mit Code Formatter
SQL Server 2014
C# (ASP.NET)
Javascript and jQuery
Der Benutzer kann Informationen speichern, in einer Textbox auf meiner Website zu verhindern. Um Injektion zu verhindern, kann ich codieren/decodieren von Sonderzeichen. Der Benutzer sollte Code wie unten eingeben können, aber der Code sollte nicht ausgeführt werden. So weit, ist es gut.
<script type="text/javascript">
$(document).ready(function() {
console.log('uuuuups.....');
});
</script>
Dieser Code wird unverändert in der Datenbank gespeichert. (ohne zuerst zu kodieren). Nun möchte ich meinen Benutzern einen Ckeditor anbieten und die Möglichkeit geben, das Code-Plugin zu benutzen. Die Code-Plugin selbst erstellt den folgenden Code:
<pre class="brush:jscript;">
<script type="text/javascript">
$(document).ready(function() {
console.log('uuuuups....');
});
</script></pre>
ich versucht habe charcter wie
in SQL zu ersetzenreplace(replace(@text, '<', '<'), '>', '>')
Aber das scheint den Code zu brechen, wenn ich zu sehen versuchen. Mein Problem ist jetzt, wie man damit umgeht? Habe ich zweimal codiert? Jeder Hinweis wird geschätzt.
Sie über somthing wie Sanitize HTML denken kann: https://github.com/gbirke/Sanitize.js zum Beispiel – Steffomio
[CKEditor HTML-Elemente entweicht] (http://stackoverflow.com/ Fragen/12700383/ckeditor-is-escaping-html-elements) –