带有ASP.NET的Tinymce,dialaterequest = false在页面中,这是否危险吗?
-
22-10-2019 - |
题
我在ASP.NET页面中使用Tinymce编辑器。它配置正常 “潜在的危险请求。从客户那里检测到的timcce的形式价值” 我搜索并知道这是Bascailly扫描输入消息表格脚本和SQL注入Attaks。
为了删除这个错误,我放了 ValidateRequest=fasle
在ASPX页面中的页面上。现在,我确定输入未经验证,但是现在不对吗?
请指导我现在有什么类型的威胁以及我可以采取什么安全措施来防止它。编辑器用于撰写和存储电子邮件。我只是在某些网站上阅读了客户端脚本Attaks从输入中可以使用。请指导并提供帮助。
解决方案
我相信 这个 答案与您要寻找的内容有关。
基本上,您必须确保HTML编码/解码适用的所有输入字段。实际上,除非您禁用验证,否则您无法完全避免它。但是,如果是,请确保采取步骤避免直接使用输入。
不隶属于 StackOverflow