我正在研究StackQL.net,它只是一个简单的网站,它允许您在StackOverflow公共数据集上运行ad hoc tsql查询。这是丑陋的(我不是一个平面设计师),但它的作品。HTMLEncode script tags only
我做的选择之一是我做不是想要html编码后期主体的全部内容。这样,您可以看到查询中帖子的一些格式。它甚至会载入图像,我很好。
但我担心这也会使<script>
标记处于活动状态。有人可能会在堆栈溢出答案中植入恶意脚本;他们甚至可以立即删除它,所以没有人看到它。人们在第一次访问时尝试的最常见的问题之一就是简单的Select * from posts
,因此稍微有点时间,这样的脚本最终可能会在几个人的浏览器中运行。在我更新到(希望即将发布的)10月份数据导出之前,我想确保这不是问题。
什么是最好,最安全确保脚本标签最终编码的方法?
这很可能最终会成为公认的答案,但直到本周末我才会尝试。 – 2009-10-01 13:24:37