我已经找到了2种方法,装饰控制器方法whit [ValidateInput(false)]或装饰viewmodel属性whit [AllowHtml]
对我来说,[AllowHtml]看起来更好,但我只发现这种方法使用了1次,而[ValidateInput(false)]接缝是首选方式。
所以我想知道你的想法,我应该使用哪一个? 2之间有什么区别?
TKS
解决方法
所以让我们先来试一试了解XSS。
XSS(跨站点脚本)是攻击者在进行数据输入时注入恶意代码的安全攻击。现在的好消息是,默认情况下,XSS是在MVC中禁止的。因此,如果有人尝试发布JavaScript或HTML代码,他将使用以下错误。
但是,实际上还有一些需要允许HTML的情况,比如HTML编辑器。因此,对于这些场景,您可以使用以下属性来装饰您的动作。
[ValidateInput(false)]
public ActionResult PostProduct(Product obj)
{
return View(obj);
}
但等等,这里有一个问题。问题是我们允许HTML完整的操作可能是危险的。所以,如果我们可以对现场或财产水平进行更精细的控制,真正创造一个整洁,专业的解决方案。
那就是AllowHTML是有用的。您可以在下面的代码中看到,我已经在产品类属性级别上装饰了“AllowHTML”。
public class Product
{
public string ProductName { get; set; }
[AllowHtml]
public string ProductDescription { get; set; }
}
因此,总结“ValidateInput”允许脚本和HTML在“AllowHTML”处于更细粒度的级别上发布在操作级别上。
我建议您更多地使用“AllowHTML”,直到您确定整个操作需要裸体。
我会建议您阅读博客文章Preventing XSS Attacks in ASP.NET MVC using ValidateInput and AllowHTML,其中展示了一个关于这两个属性的重要性的一个例子。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
