asp.netを使用したTinymce、validaterequest = false in page、それは危険ですか？

Question

ASP.NETページでTinymceエディターを使用しています。それは正常に構成されましたが、私がエディターにsoemテキストを書き込もうとしたとき、それはエラーを上げました 「潜在的に危険なリクエスト。FORM値は、Timymceを使用してクライアントから検出されました」 私は検索し、入力メッセージフォームスクリプトとSQLインジェクションアッタのBascaillyスキャンであることを知りました。

このエラーを削除するには、私が置いた ValidateRequest=fasle ASPXページのページヘッド。今、私は入力が検証されていないと確信していますが、今は安全ではありませんか？

現在の脅威の種類と、それを防ぐためにどのような安全な尺度をとることができるかを教えてください。編集者は、電子メールを作成して保存するために使用されています。クライアントサイドスクリプトのアッタが入力から可能であることをいくつかのサイトで読んだばかりです。ガイドして助けてください。

Answer 1

私は信じている これ 答えはあなたが探しているものの線に沿っています。

基本的に、HTMLが該当する場合はすべての入力フィールドをエンコード/デコードすることを確認する必要があります。実際には、検証を無効にしない限り、完全に回避することはできません。ただし、もしそうなら、入力の直接使用を避けるための手順を実行してください。