当前位置：移动技术网 > IT编程>开发语言>.net > 使用ASP程序对“HTML炸弹”进行屏蔽

使用ASP程序对“HTML炸弹”进行屏蔽

2018年02月19日 | 移动技术网IT编程 | 我要评论

java电子书阅读器,江西信息网,水宜生官网

我们在使用ASP来编写或者ＢＢＳ程序的时候，经常会遇到这样的问题，当网友在我的论坛或者ＢＢＳ上面发表的文章带有ＨＴＭＬ代码的时候，如何才能正常的显示这篇带有ＨＴＭＬ代码的文章呢？如果在向数据库保存数据的时候或者向浏览器输出显示内容的时候不做任何处理，就会发生麻烦，比如，我发表的一篇文章带有如下的代码：

<script　language="javascript">

for(i=1;i<=10000;i++)

{

　　parent.moveBy(20,20);parent.moveBy(-20,-20)

}

</script>

　　当其他的网友这篇文章的时候，他就会发现他的浏览器在不停的跳动，整个屏幕一片混乱，这也就是俗称的“HTML炸弹”。所以为了更好服务于到我们论坛贴文章和阅读文章的网友，我们就要屏蔽类似的“ＨＴＭＬ炸弹”。屏蔽“ＨＴＭＬ炸弹”大致有两种途径：

　　第一种是在将文章保存到数据库之前就使用ASP程序过滤掉文章中的“ＨＴＭＬ炸弹”。方法是：将文章中所有的英文半角的字符“<”以及“>”分别替换成为英文全角的字符“＜”以及“＞”，然后再保存到数据库中。代码如下：

*******************************

保存文章内容

参数：Ftitle　　　　文章标题

　　　　　　Fcontent 文章内容

*******************************

Function SaveDoc(Ftitle,Fcontent)

..................

这里是联接数据库的代码

....................

过滤掉HTML炸弹以及单引号

Ftitle =replace(Ftitle,"","",1)

Ftitle =replace(Ftitle,"<","＜",1)

Ftitle =replace(Ftitle,">","＞",1)

Fcontent =replace(Fcontent,"","",1)

Fcontent =replace(Fcontent,"<","＜",1)

Fcontent =replace(Fcontent,">","＞",1)

下面正常保存到相应的数据库中就行了

...................

End Function

　　第二种方法是：在把文章保存到数据库之前不做任何处理，只是在显示到浏览器的时候，使用ASP对从数据库中取出的数据作相应的处理，以便正常显示。因为文章的内容有可能要显示到两种地方，一个是简单的阅读，需要显示到Table;另外就是要回复文章，就要显示到TextArea框里面，所以需要的两份代码如下：

*****************************

阅读文章内容,显示在Table中

参数content就是从数据库中提取出来的文章内容

*****************************

Function ShowDocToRead(content)

　　dim temp

　　 temp=""

如果文章内容为空,就退出

　　if trim(content)="" then

　　　　 ShowDocToRead=""

　　　　 exit function

　　 end if

过滤掉HTML炸弹

　　 temp=replace(content,chr(13)&chr(10),"<br>",1)

　　 temp=replace(temp,chr(32)," ",1)

　　 temp =replace(temp,"<","＜",1)

　　 temp =replace(temp,">","＞",1)

　　 ShowDocToRead=temp

End function

**********************************

阅读文章内容,显示在TextArea中,於用

回覆.

***********************************

Function ShowDocToWrite(content,author)

dim temp

temp=""

if trim(content)=""then

ShowDocToWrite=""

exit function

end if

content="【" & author & "在大作中谈到:】" & chr(13)&chr(10) & content temp="＞" & replace(content,chr(10),chr(10)&"＞",1)

temp =replace(temp,"<","＜",1)

temp =replace(temp,">","＞",1)

ShowDocToWrite=temp

End Function

　　这样，通过这两种方法，即便是文章内容包含HTML代码，或者Script语句，我们的论坛或者ＢＢＳ也可以正常将文章内容显示出来了，可以有效的防止个别人对论坛或者ＢＢＳ的恶意攻击，使我们的论坛或者ＢＢＳ更加安全和强壮。

　　另一个需要注意的地方是，文章的内容在保存到数据库之前，应当过滤掉单引号，否则在执行ＳＱＬ语句的时候就会发生错误，因为大多数据库系统都是把单引号当作分割符号的。

您可能感兴趣的文章:

如对本文有疑问，请在下面进行留言讨论，广大热心网友会与你互动！！点击进行留言回复

Blazor server side 自家的一些开源的, 实用型项目的进度之 CEF客户端

距离上次提出 [Asp.Net Core] Blazor Server Side 扩展用途 - 配合CEF来制作带浏览器核心的客户端软件的想法后,&#... [阅读全文]
武装你的WEBAPI-OData入门

本文属于OData系列目录（可能会有后续修改） "武装你的WEBAPI OData入门" 武装你的WEBAPI OData便捷查询武装你的WEBAP... [阅读全文]
.NET IoC模式依赖反转(DIP)、控制反转(Ioc)、依赖注入(DI)

依赖倒置原则(DIP) 依赖倒置(Dependency Inversion Principle,缩写DIP)是面向对象六大基本原则之一。他是指一种特定的... [阅读全文]
DevExpress+Winform（四）

视频：https://www.bilibili.com/video/BV15x411x7WN?p=5 新建Devexpress Winform Blan... [阅读全文]
Jenkins之Nunit的应用

一、在Jenkins中安装Nunit插件进入jenkins的插件管理模块，下载Nunit插件。此步骤不做截图说明二、引用nunit.console的nu... [阅读全文]
vue+.netcore可支持业务代码扩展的开发框架 VOL.Vue 2.0版本发布

框架介绍这是一个基于vue、element-ui、iview、.netcore3.1 可支持前端、后台动态扩展业务代码快速开发框架。框架内置定制开发... [阅读全文]
微信退款（在.net core 用http方式请求）

微信JSAPI支付申请退款接口地址接口链接：https://api.mch.weixin.qq.com/secapi/pay/refund 是否需... [阅读全文]
Owin Katana 的底层源码分析

最近看了一下开源项目asp.net katana，感觉公开的接口非常的简洁优雅，channel 9 说是受到node.js的启发设计的，Katana是一... [阅读全文]
jenkins发布application且并运行

一、发布配置差异配置：编译内容编译目标NetWorkClient/KJ90NetClient.csproj编译命令/t:build/p:Configur... [阅读全文]
WPF 简易日期控件魔改ListBox

先上截图修正：应该将SetTime方法修改为，行号为207行开始修改 var nk = Day_of_week(year, month, 1); i... [阅读全文]

网友评论


验证码：

使用ASP程序对“HTML炸弹”进行屏蔽

2018年02月19日 | 移动技术网IT编程 | 我要评论

您可能感兴趣的文章:

相关文章:

网友评论