asp.net-mvc – 在MVC应用程序中处理Rich Text

编辑：请注意,如果您允许超链接或图像,则必须验证src和href标记.我建议使用System.Uri解析它,将方案限制为http,并将域限制到您的站点(取决于您希望用户能够做什么).

以前也做过类似的事情;谷歌他们.

编辑：例如,见this question

第二次编辑：

在将数据放入数据库之前,不应对数据进行编码.只要您使用参数(如果您不是,您真的应该这样做),数据库将完全不受您放入其中的任何内容的影响.

如果您的输入清理是安全的(参见上文),如果您对其进行编码并在途中解码它将没有任何区别,并且如果清理不安全,则编码将无济于事.

但是,通过标准XML解析器运行它,拒绝任何不解析的输入,并使用解析器中的格式化XML(如上所述)可能是个好主意.

第3次编辑：

那里有许多富文本编辑器;对于MVC,我想我会推荐FCKEditor.它会为你逃避输入,但你不能完全依赖它,因为攻击者可以禁用JavaScript或伪造自己的HTTP请求. (您仍然需要在服务器上验证HTML). Web表单有很多丰富的编辑器(我认为,它可以进行服务器端验证);没有任何MVC(尚)