3
我想允许我的Web应用程序的最终用户修改存储在数据库中的视图(通过基于Web的后台)。 期望的视图引擎预计是代码注入安全的,这意味着最终用户将被限制为绝对最小数量的可用表达式,不允许插入服务器代码。选择MVC视图引擎
是否有任何适合的视图引擎可供下载?
A
回答
2
我不知道任何现有的发动机,但菲尔哈克对存储在数据库中的意见后:http://haacked.com/archive/2009/04/22/scripted-db-views.aspx
该职位与用户创建的意见想法的交易。如果你想防范XSS风格的代码注入攻击,你可以使用sanitize your HTML。
相关问题
- 1. ASP.NET MVC 3:视图引擎的设计选择
- 2. ASP.NET MVC剃刀视图引擎
- 3. ASP.NET MVC 2自定义视图引擎
- 4. 是否有支持JavaScript视图的ASP.Net MVC视图引擎?
- 5. iOS游戏引擎选择
- 6. 将MVC 2 ASPX转换为MVC 4 Razor视图引擎
- 7. Razor视图引擎的首选视图位置
- 8. 如何使在asp.net mvc的结构图供电视图引擎
- 9. Vue.js ExpressJS视图引擎
- 10. 在MVC3 Razor视图引擎
- 11. Razor视图引擎RenderSection
- 12. 与Razor视图引擎
- 13. MVC3剃刀视图引擎
- 14. WebForms视图引擎文档?
- 15. Razor视图引擎语法
- 16. 引导选择与预期有angularjs MVC局部视图
- 17. 如何在Mvc中组合多个视图引擎?
- 18. 在MVC 3中使用Razor View引擎渲染部分视图
- 19. 在火花视图引擎中使用asp.net mvc 2功能
- 20. ASP.NET MVC 2中的Spark视图引擎和区域
- 21. 一个基于XAML的ASP.NET MVC视图引擎
- 22. Asp.net mvc视图引擎 - 滚动我自己的智能感知
- 23. 用于打印预览的C#MVC视图模板引擎
- 24. MVC 3 Razor视图引擎 - 脚本块出现DOCTYPE
- 25. ASP.NET MVC自定义自定义视图引擎
- 26. 实现用于预处理的ASP.NET MVC视图引擎
- 27. MVC中的自定义Razor视图引擎6
- 28. mvc3的日期选择器与剃刀视图引擎无需使用jquery
- 29. 嘶嘶声选择器引擎错误
- 30. 在mysql中使用源选择引擎
尽快让我的应用程序的最终用户能够修改视图,他们可以将服务器代码插入到视图中(例如,如果我使用spark view-engine:通过使用如下语法:
!{SERVER_CODE_THAT_CAN_DO_ANYTHING_UNSECURE}
) 所以,在这里我的Web服务器上有安全漏洞。 – leonard 2010-03-31 19:58:35这就是第二个环节 - 杰夫阿特伍德自己告诉你如何去除邪恶的东西。请注意,服务器本身不会使用ASP.NET MVC执行任何操作。您主要关心的是JavaScript XSS攻击。 – 2010-03-31 20:01:03