Witam,
piszę sobie prostą aplikacyjkę ASP.NET MVC.
Chciałbym by do określonego diva był wrzucany text z bazy.
Łącznikiem między bazą a aplikacją jest NHibernate.
Problem w tym, że text ten nie będzie zwykłym tekstem ale cały htmlem z tagami itd.
I pytanie czy takie przychowywanie HTMLa jako nvarchar(max) na przykład, nie będzie jakoś podatne na wstrzyknięcie złośliwego kodu czy coś w tym rodzaju? Czy nie wiąże się to z jakimś ryzykiem
A kto dodaje te teksty? Jeżeli ty, to nie ma się czego bać. Jeżeli nie, to w celu zabezpieczenia się przed atakiem XSS musisz przeprowadzić filtrację (google keyword: strip tags C#).
Ja, albo ręcznie do bazy albo za pomocą jakiegoś CMSa którego sobie zrobię.
Czyli jeśli w bazie będzie zapisany html zaciągane NHibernatem i wrzucany do diva (na stronie która bedzie dostepna dla ogólnego usera) to generalnie mogę być spokojny tak?
PS. Czy ten strip tags nie polega na usunięciu tagów HTML ? Ja potrzebuję żeby one zostały własnie i zostały zinterpretowane jako HTML.
Bo w bazie beda zapisywane kawałki HTMLa typu tekst z obrazkami itp itd
Tak. Ewentualnie jeżeli nie przewidujesz możliwości wstawiania skryptów javascript możesz dodać filtrację tagu <script>. Dzięki temu, nawet w przypadku nieupoważnionego dostępu do bazy danych nie tak łatwo będzie można przeprowadzić wspomniany atak XSS.
Ok, dzięki