замена строки на странице, созданной из шаблона
У меня есть некоторые aspx-страницы, созданные пользователем из шаблона. Включена некоторая замена строки (anyting с ${fieldname}), поэтому часть шаблона выглядит так:
<%
string title = @"${title}";
%>
<title><%=HttpUtility.HtmlEncode(title) %></title>
Когда из этого шаблона создается aspx файл, значение ${title} заменяется значением, введенным пользователем.
Но, очевидно, они могут вводить произвольный HTML, просто закрывая двойную кавычку в своей строке ввода. Как мне обойти это? Я чувствую, что это должно быть очевидно, но я не могу понять, как это сделать.
Я не контролирую процесс создания шаблона - мне нужно принять это как заданное.
3 ответа
Можете ли вы сохранить их значения в другом файле (возможно, xml) или в базе данных? Таким образом, их вклад не компилируется на вашу страницу. Затем вы просто читаете данные в переменных. Тогда все, о чем вам нужно беспокоиться, это html, о котором позаботится ваш html-код.
-
0Кажется, это единственный способ, которым он может работать - значение помещается в какую-то область хранения, а затем отдельный процесс считывает и внедряет его в шаблон aspx.Clyde
Если они включают в свою строку двойную кавычку, которая не будет вводить произвольный HTML, а произвольный код, что еще хуже.
Вы можете использовать регулярное выражение для фильтрации входной строки. Я бы использовал всеохватывающее регулярное выражение, вместо того, чтобы исключать опасные символы. Разрешайте только A-Za-z0-9 и пробелы.
-
0Вы правы, они могут вставить либо код, либо HTML, либо один. Как и в моем комментарии к другому ответу, я не могу получить его в переменную для начала, так что трудно обработать это после факта. Эта операция будет выполняться зарегистрированными пользователями, а не пользователями, поэтому я могу просто жить с этим. Но я надеялся, что есть способ обойти это, просто чтобы избежать краж со стороны ИТ-персонала.
-
0Вы не контролируете код, который применяет переменные к шаблону?
Не уверен, что я полностью понимаю, но...
Попробуйте использовать регулярное выражение для выделения html из заголовка вместо html, кодирующего его:
public string StripHTML(string text)
{
return Regex.Replace(text, @"<(.|\n)*?>", string.Empty);
}
Возможно ли это?
<%
string title = Regex.Replace(@"${title}", @"<(.|\n)*?>", string.Empty);
%>
или
<title><%=HttpUtility.HtmlEncode(System.Text.RegularExpressions.Regex.Replace(title, @"<(.|\n)*?>", string.Empty)) %></title>
-
0И как мне безопасно получить замененный текст шаблона в переменную «текст»? Вот и вся проблема!
-
0Как конечные пользователи создают шаблоны? Почему вы можете фильтровать содержимое при сохранении, а не на дисплее?
Ещё вопросы
- 0PHP 1x, в то время как 2x for loop сильно замедляет загрузку
- 0UI Bootstrap Typeahead игнорирует выбранное значение
- 0повторение ассоциативных массивов занимает слишком много времени
- 1Как условно добавить (или изменить) ContextConfigLocation в web.xml?
- 1python selenium firefox, специальный символ @ для всплывающей аутентификации
- 0Увеличение строк в базе данных
- 0Подождите, пока звук не закончится, чтобы использовать страницу
- 1Возможно ли манипулирование CSS-данными через Integer в GWT?
- 0Как выполнить операцию соединения для следующей таблицы?
- 1Где MemoryStream записывает данные
- 0Как мне создать массив этой структуры в C ++ 11?
- 0Скроллр проблемы с якорными целями
- 1Gradle обертка получить неверную версию Java в проекте Android на Windows
- 0JQuery выделяет элемент меню изображением, когда пользователь выбирает его и меняет цвет фона при наведении
- 0Yii Как добавить ссылку в текст таблицы opentag
- 1ASP.Net MVC длительный процесс
- 0JS не может передать значение элементу ввода текста родителя [странное поведение]
- 0Ограничить тип файла, размер, одиночная загрузка не работает при загрузке файла jquery
- 1Как транслировать канал YouTube (например, Mecca Live) в своем приложении?
- 0Определите, какой элемент является первым, и сделайте это
- 1Как я использую python selenium для нажатия на панель навигации с выпадающим
- 1Конкретный числовой формат Python в Excel
- 0использовать DGEMM BLAS в Windows Eclipse
- 0TBB Linker error Как узнать, что я пропустил включение или код устарел?
- 1Изменение целевого фреймворка в приложении Xamarin.forms с Android 8.1 на Android 9 (для Xamarin.Essentials)
- 1Какой макет в настоящее время используется Пейзаж или Портрет?
- 0Кросс-браузерное поле
- 0AngularJs обрабатывает несколько флажков
- 1Выполнение пакетного файла с зависимостью пути в c #
- 1Google Sign In в Android получает неверный сертификат отпечатка пальца SHA-1 ошибка
- 1Как использовать Фрагмент перехода на Android 8 (API 26, Oreo)
- 1Javascript столкновение двухугольников массива точек
- 0проверить, была ли страница перенаправлена или открыта непосредственно в междоменном php
- 0Множество угловых проектов
- 0Как использовать Spring Restful веб-сервис, используя $ ресурс в Angularjs
- 0Ошибка подтверждения mfc при попытке создать страницу свойств
- 0как передать max_streak_length из командной строки
- 1Неверный тип операнда для бинарного оператора
- 1Asp.Net MVC, WebApi и правильный асинхронный подход
- 1Twitter Bot - node.js - неожиданная ошибка токена
- 1Android GC собирает объект, если событие имеет сильную ссылку на приложение (почему это происходит?)
- 1Как можно создать / удалить файлы в / data / data dir с помощью root в Android?
- 0Как добавить данные json к определенному индексу в другом json, используя angularjs
- 1Знать компонент, который вызвал функцию
- 1Как в нижнем регистре все буквы, кроме первой буквы в TabLayout?
- 0Программирование MFC: ошибка при компиляции: ошибка в коде потока
- 1Javascript дает недействительный месяц, когда месяц установлен на 5
- 1Калитка 6 Установите флажок CheckGroup по умолчанию не отмечен
- 1Как остановить повторяющиеся значения в цикле?
- 0Qt: (ошибка) неопределенная ссылка на класс QuaZip (библиотека QuaZIP)
