none
html код в базе данных RRS feed

Ответы

  • Хранить html безопасно в любом виде. Проблемы будут при выводе - придется вырезать все тэги, кроме "100% безопасных".
    • Помечено в качестве ответа Program-s.g 24 февраля 2012 г. 6:06
    23 февраля 2012 г. 18:06
    Модератор
  • Ну, если весь html код контролируете Вы, и пользователи вообще не имеют доступа к таблице, то в данном случае ни о каком xss и речи нет, если только не взломают БД. Но тут, возникает другой вопрос: какой смысол тогда хранить html в базе данных?


    • Изменено YatajgaModerator 24 февраля 2012 г. 5:42
    • Помечено в качестве ответа Program-s.g 24 февраля 2012 г. 6:06
    24 февраля 2012 г. 5:42
    Модератор

Все ответы

  • Ну вообщем, то да, но с одним большим - но. Чтобы обезопаситься от XSS, его надо предварительно кодировать при сохранении в бд, а при извлечении декодировать.

    В ASP.NET методами

    HttpServerUtility.HtmlEncode()
    HttpServerUtility.HtmlDecode()


    23 февраля 2012 г. 9:15
    Модератор
  • Ну вообщем, то да, но с одним большим - но. Чтобы обезопаситься от XSS, его надо предварительно кодировать при сохранении в бд, а при извлечении декодировать.

    В ASP.NET методами

    HttpServerUtility.HtmlEncode()
    HttpServerUtility.HtmlDecode()

    А можно увидеть пример? я добавляю записи в базу данных с помощью visual studio, без веб интерфейса. как это может быть причиной для XSS атаки, если пользователи не имеют прямого доступа к этой таблице?
    23 февраля 2012 г. 14:04
  • Хранить html безопасно в любом виде. Проблемы будут при выводе - придется вырезать все тэги, кроме "100% безопасных".
    • Помечено в качестве ответа Program-s.g 24 февраля 2012 г. 6:06
    23 февраля 2012 г. 18:06
    Модератор
  • Ну, если весь html код контролируете Вы, и пользователи вообще не имеют доступа к таблице, то в данном случае ни о каком xss и речи нет, если только не взломают БД. Но тут, возникает другой вопрос: какой смысол тогда хранить html в базе данных?


    • Изменено YatajgaModerator 24 февраля 2012 г. 5:42
    • Помечено в качестве ответа Program-s.g 24 февраля 2012 г. 6:06
    24 февраля 2012 г. 5:42
    Модератор