富文本框也接受脚本标签

Question

我有一个 aspx 表单，我们使用 freetextbox 作为我的富文本编辑器来创建条目。

但我可以在此到达标签中输入<script></script>。

我如何在客户端验证它不应该接受任何包含在 javascript 库中的脚本。

编辑：

我怎样才能验证它不允许脚本标签进入它？ 我们如何验证它的必填字段？ 我如何在我的页面上管理多个textareas。但我只想让一个富编辑器而不是全部？？？

我尝试了一些代码，但它没有帮助我进行正确的验证。下面是sn-p。 脚本

<script>
    $(document).ready(function () {

        var $btn = $("#<%=btnSubmit.ClientID %>");
        var $txtEditor = $("#<%=txtEditor.ClientID %>");

        $btn.click(function () {
            alert($txtEditor.html()); 
            return false;
        })

    });

</script>

HTML

<div>
            <asp:TextBox id="txtEditor" runat="server" TextMode="MultiLine"></asp:TextBox>
        </div>
        <div>
        <asp:Button id="btnSubmit" runat="server" Text="Save" />

        </div>

Answer 1

如果您确实需要在文本中支持 HTML，那么您可能应该集成一些所见即所得的编辑器（例如TinyMCE）。

如果您不需要 html，那么只需对所有用户输入进行 html 编码。

Answer 2

我会考虑使用HTML agility pack 来解析内容并只允许白名单标记。

在任意标记中有numerous ways of getting script to execute（不一定需要