Мы храним "полностью фрагмент вместе с тегами в поле".

JeStone, откуда вдруг XSS? Не думаю, что они планируют выдавать права на редактирование контента своих страниц любому желающему :)

JeStoneskyANA,
Я думаю эти ребята, писавшие новость об XSS-injection через DNS-name, тоже не давали права на редактирования новостей любому желающему.
http://pcnews.ru/blogs/ispolzuem_dns_ne_po_naznaceniu-567005.html Если честно, то я не понял Вашего примера.

XSS в комментариях блога и редактирование контента всей страницы - это несколько разные вещи.
Вы можете привести пример того, как при редактировании конвента своего сайта, администратор сайта получит XSS-атаку?

JeStone, нигде не написано, но я не думаю, что по редактированием статьи понимается "заходи, кто хочет, пиши статью о чем хочешь" :)

rigorMortis, посмотрите например Confluence и забейте на BB-код :)

rigorMortisХраню в бд (encoded html).А смысл?

rigorMortisskyANA, а какие варианты?Хранить как есть :) В чём смысл хранить encoded?

rigorMortisskyANA, дык asp.net ругается если html пытаться сохранить как есть.Да ну? В какой момент? Как ругается?

У меня не ругается.

rigorMortisskyANA, при нажатии отправке POST нажатием на submit:

A potentially dangerous Request.Form value was detected from the client (ckeditor="...-то текст.<br /><br />
&nbs...").


Мне пришлось включить ему опцию htmlEncodeOutput: true. Тогда при выгрузке содержимого из бд на страницу приходится декодить.Понятно. Делали бы Decode перед сохранением в БД, а не при выгрузке.

1. Вы же сами пишете, что "контент редактироваться будет редко, новые страницы ещё реже". Логичнее редко выполнить Decode при редактировании, чем 100500 раз при чтении.

2. Когда-нибудь обязательно понадобиться посмотреть, что там в БД, поправить не через сайт. И тот, кому это понадобится, фиг разберётся с тем, что хранится в БД.