不支持html是无趣的，支持html是危险的

不支持html是无趣的，支持html是危险的

aspnetforums2.0支持Html编辑器，可以加入很多精彩的内容，无疑是一件很爽的事情，但是对于想搞破坏的人来说可能产生一些恶意的代码。今天试着检测了一下aspnetforums2.0的安全性，首先我用在博客园使用的检测方法来试，发现只有iframe有效，不过这已经够了，利用Iframe，我可以在iframe里面加上任意恶意的代码。后来继续检测了一下样式表的脚本，后来还是让我发现了一个让我ie死了n次的恶意脚本，呵呵
<style>
body{
expression:expression(alert('welcome to aspnetforums2.0\nI am dotey:P\nonly a joke!'));
}
</style>
慢慢完善，应该还是可以做到很安全的：）除我试的那几种外，应该还有几种可以产生破坏的方法，就不试了。我也应该好好考虑一下该怎么样来过滤这些不安全的代码！

可能有人要问：这些代码是怎么弄到html编辑器里面的？html编辑器不是不能直接写html代码的么？

呵呵，还是不告诉你的好！

我还是喜欢支持html的论坛和博客！