fea*_*net 7 security asp.net-mvc html-encode
我正在通过NerdDinner工作,我对以下部分感到有点困惑......
首先,他们添加了一个用于创建新晚餐的表单,其中包含一些文本框,如下所示:
<%= Html.TextArea("Description") %>
然后,他们展示了将表单输入绑定到模型的两种方法:
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Create() {
Dinner dinner = new Dinner();
UpdateModel(dinner);
...
}
要么:
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Create(Dinner dinner) { ... }
好的,很棒,到目前为止看起来都非常简单.
然后他们说:
在接受任何用户输入时,始终对安全性总是偏执是很重要的,并且在将对象绑定到表单输入时也是如此.您应该小心始终对任何用户输入的值进行HTML编码,以避免HTML和JavaScript注入攻击
咦?MVC正在为我们管理数据绑定.您应该在哪里/如何进行HTML编码?
您通常(但并非总是)希望在将值写出之前对其进行 HTML 编码,通常是在视图中,但也可能从控制器中。
| 归档时间: |
|
| 查看次数: |
4050 次 |
| 最近记录: |