У меня есть форма asp.net с элементом textarea (часть профиля участника — поле «Цели»). Я не возражаю против того, чтобы пользователи вводили туда html-теги, но asp.net не позволяет отправлять html-теги внутри текстовых полей по соображениям безопасности (), что хорошо. Итак, я вижу два варианта: полностью удалить html-теги из значения textarea перед отправкой формы или избежать значения textarea, заменив < и > на < и > перед отправкой на сервер.
Другими словами, если кто-то напечатал в текстовом поле следующее:
Я хочу каким-то образом сохранить его на сервере и показать пользователю точно так, как он набрал его в следующий раз, когда он будет на этой странице.
Как обычно решают такую проблему?
ОБНОВЛЕНИЕ: Asp.net по умолчанию не позволяет отправлять теги в элементы input/textarea. И если я отключу эту проверку, я открою потенциал для эксплойтов XSS. Все, что я хочу, это найти правильный способ избежать ввода (и назначить обратно элементу), а затем иметь возможность отменить его после загрузки формы.
<,>и&(и, возможно, другие). Я не могу дать вам ответ, так как я совсем не привык к ASP.net. Кстати, никогда не удаляйте теги, потому что вы можете испортить что-то вродеa<c^2&b>3. - person Marcel Korpel schedule 21.04.2011a<c^2&b>3? - person Andrey schedule 21.04.2011<…>, вы измените эту строку наa3. - person Marcel Korpel schedule 21.04.2011<script>элементах, как я только что сделал, я не хочу, чтобы программа удаляла это слово, она должна просто правильно кодировать/переводить угловые скобки. - person Marcel Korpel schedule 21.04.2011