h：inputTextarea中的块Html标签

Question

我需要阻止h：inputTextarea的Html标签。 此textarea的内容将显示在outputText中，并将转义设置为false。 它设置好的假，因为我允许显示链接<a href...>.

当我点击保存，它验证了书面文字，以检查是否是有联系的，如果是这样，我们保存在数据库<a href...>

如果我上面这样做是错误的做法，让我知道，但不要忘记尝试帮助我阻止HTML标签。如果我错了怎么办呢，我以后会做，但我需要解决这个问题就像我现在说:(

TY

Answer 1

您应该使用像markdown代替其他一些标记语言HTML，以防止XSS如果允许一个标签，用户仍然可以写东西，如：

<a href="javascript:doSomethingEvil()">foo</a> 

如果你去，并试图找到和过滤器之类的东西太多，看看这些漂亮的示例：http://ha.ckers.org/xss.html

编辑： 如果真的是唯一的标记，你想允许，你只是想有可点击的链接，为什么你不尝试识别文本中的网址，而不是强迫用户编写HTML？退房this SO question。