|
Сообщение от B@rmaley.e><e
|
Сообщение от sommer
Теги <script> удалятся только после публикации.
Таким образом, вредоносный код получит только текущий юзер.
|
но он это сравнительно недавно сказал,до этого было:
|
Сообщение от sommer
|
|
А вот если сохранить сообщение с внедренным скриптом в базе и потом его отобразить с помощью innerHTML, то они вполне работают.
|
|
Сообщение от sommer
|
|
На серверную сторону валидация ASP.Net сама не пропустит любые тэги, ну а если все-таки каким-то чудом в базу сохранился код, то после обработки HtmlEncode любой код становится просто текстом...
|