是否可以同时插入工作javascript和<&引用;及&燃气轮机&引用;远离的?
我正在开发一个基本的聊天应用程序,以及能够向其中呈现一些html标记的内容,这是在服务器级别完成的。但是,我不希望聊天者为了javascript注入而能够添加任何自己的有效HTML标记是否可以同时插入工作javascript和<&引用;及&燃气轮机&引用;远离的?,javascript,signalr,code-injection,Javascript,Signalr,Code Injection,我正在开发一个基本的聊天应用程序,以及能够向其中呈现一些html标记的内容,这是在服务器级别完成的。但是,我不希望聊天者为了javascript注入而能够添加任何自己的有效HTML标记 既然我根本不关心保持我用户的CSS样式,那么我是否可以通过在收到服务器上删除所有“”字符,然后在以后添加我自己的html标记来防止javascript注入和其他恶意攻击?我知道有些浏览器试图做出最好的猜测,当它认为需要时会添加一个结束'>',但我希望清除所有'它应该足以替换任何s。您还可以做得更好,而不仅仅是删除
既然我根本不关心保持我用户的CSS样式,那么我是否可以通过在收到服务器上删除所有“”字符,然后在以后添加我自己的html标记来防止javascript注入和其他恶意攻击?我知道有些浏览器试图做出最好的猜测,当它认为需要时会添加一个结束'>',但我希望清除所有'它应该足以替换任何
function html_escape_string(str) {
return str.replace(/</g,'<').replace(/>/g,'>');
}
函数html\u escape\u字符串(str){
返回str.replace(//g',);
}
Microsoft.Security.ApplicationEncoder.HtmlEncode(data)