Jak przekonwertować ciąg HTML bezpieczny ciąg

Tworzę jakąś dynamicznie wygenerowany kod HTMLJak przekonwertować ciąg HTML bezpieczny ciąg

bldr.AppendLine("<a>"); 
string userText = user.Company; 
bldr.AppendLine(userText); 
bldr.AppendLine("</a>");

Skąd mogę mieć pewność, że bez względu na nazwę firmy jest, pojawi się tak jak powinien, ale także jeśli starają się wstrzykiwać dowolny HTML w nazwie będzie po prostu wyświetlany w postaci zwykłego tekstu.

Na przykład, jeśli próbowano użyć nazwy "<script>alert("Do Bad!")</script>", to dokładnie to, co pojawi się na stronie, w postaci zwykłego tekstu.

Ale chcę też, aby uniknąć "A & C" przekłada się "a \ u0026 C", który jest, co się dzieje, gdy używam

HttpUtility.JavaScriptStringEncode(user.Company);

Źródło

2014-05-21 TruthOf42

można wykorzystywać tę samą klasę HttpUtility trzeba użyć do JavaScriptu, ale dla html, dla próbki:

bldr.AppendFormat("<a>{0}</a>\n", HttpUtility.HtmlEncode(user.Company));

Istnieje również odwrotny sposób korzystania HttpUtility.HtmlDecode(string).

Źródło

2014-05-21 12:52:40

Można użyć metody HttpUtility.HtmlEncode:

var htmlString = HttpUtility.HtmlEncode(user.Company);

Źródło

2014-05-21 12:51:40 ChrFin

using System.Web; 

var encoded = HttpUtility.HtmlEncode(unencoded);

Źródło

2014-05-21 12:52:06 Manfre

HtmlUtility.HtmlEncode(string s)

Źródło

2014-05-21 12:52:22 Rik

Jest to metoda zwana 'HtmlEncode' w klasie' HtmlUtility' która przyjmuje parametr ciąg i koduje je w formacie HTML bezpiecznego łańcucha. To jest 23-słowy opis, który nie dodaje żadnych informacji do mojej odpowiedzi, dlatego nie uwzględniłem go w pierwszej kolejności – Rik

Alternatywą bez uzależnienia do system.Web:

System.Net.WebUtility.HtmlEncode()

Źródło

2014-05-21 12:54:46 MarkO

Jak przekonwertować ciąg HTML bezpieczny ciąg

Odpowiedz

Powiązane problemy